====== Optional: HTTPS Zertifikat & Freigabe im Internet ======

^ **:!: ACHTUNG: INFORMATIONEN OHNE GEWÄHR. ** ^
| Die Firma untermStrich software gmbh übernimmt keine Haftung für etwaige Schäden oder Fehler die direkt oder indirekt durch die Benutzung oder nicht Benutzung dieser Anleitungen entstehen! |
| Die folgenden Seiten stehen nicht unter der Kontrolle der untermStrich software gmbh |

 ** **

^ :righty: Die Freigabe eines Servers im Internet und das Einrichten eins HTTPS Zertifikates ist Aufgabe des Systemadministrators / der Systemadministratorin. :lefty: ^
| Hierbei muss natürlich auch die am Server eingesetzte Software aktuell gehalten werden. Weiteren Schutz bietet mod_auth_basic. \\ :!r: Alternativ empfehlen wir eine **VPN Verbindung** für den Zugriff |

<html> </html>

===== Vorgehen =====

==== HTTPS Reverse Proxy/Web Application Firewall  ====
Wenn Sie einen Reverse Proxy/eine Application Firewall einsetzen, die bereits HTTPS für HTTP Dienste anbietet, müssen Sie in untermStrich nur die folgenden 2 Einträge anpasssen: [[de:reverse_proxy:start|]]

<WRAP center round info 90%>
Eine [[wpde>Web Application Firewall]] (WAF) bietet einen zusätzlichen Schutz gegen Angriffe auf Webanwendungen. Diese kann alle Ihre Webanwendungen/Webseiten gleichzeitig schützen. 

Hier eine kurze Marktübersicht:

  * [[https://www.tecchannel.de/a/web-application-firewalls-grundlagen-und-marktuebersicht,2019855,7|tecchannel: WAF-Marktübersicht]]
  * [[https://www.fortinet.com/de/products/web-application-firewall/fortiweb|FortiWeb: Web Application Firewall]]
  * [[https://www.heise.de/select/ix/2022/4/2201713464818694504|Heise iX:  Drei freie Web-Application-Firewalls im Vergleich ]]
  * [[https://github.com/SpiderLabs/ModSecurity|ModSecurity]]
  * [[https://owasp.org/www-community/Web_Application_Firewall|OWASP: Web Application Firewall]]

Beachten Sie, dass vor allem freie Web Application Firewalls, eine Systembetreuer:in benötigen, die Profile anpassen kann und zu den Geschäftszeiten verfügbar sein muss.
</WRAP>


==== HTTPS Zertifikat für den Apache ====
  - Sie benötigen als erstes ein Zertifikat für eine Domain:
    * Eine Domain erhalten Sie bereits für unter 10EUR im Jahr bei diversen Anbietern.
    * Das Zertifikat erhalten Sie etwa
      * kostenlos, bei [[https://letsencrypt.org/]] (Anleitungen unter: [[https://certbot.eff.org/]])
      * ab (Stand 04.2017) 59$ bei [[http://www.rapidssl.com/]].
    * <wrap round important>Wir empfehlen die Nutzung eines gültigen (nicht Self-Signed) Zertifikates. ((Sicherer und weniger Problemanfällig))</wrap>
  - Dieses müssen Sie bei dem von Ihnen benutzten Webserver eintragen:
     * Windows: [[de:installation:ssl_hinweise_zu_apache_bundle|Hinweise zu HTTPS - HTTP Server, PHP, ionCube Bundle (Windows)]]
     * Let’s Encrypt Linux: [[https://certbot.eff.org/instructions?ws=apache&os=snap]]
     * Let’s Encrypt macOS: [[https://certbot.eff.org/instructions?ws=apache&os=osx]]
<WRAP center round info 90%>
Anleitung zur Installation eines SSL Zertifikates beim Apache Server, finden Sie in aller Regel direkt beim Aussteller Ihres SSL Zertifikates.
</WRAP>


=== Tipps ===
     * [[de:installation:ssl Probleme mit 64Bit Windows|Probleme mit 64Bit Windows]]
     * [[de:installation:sslkey remove passphrase|Fehler: SSLCertificateKeyFile mit Passphrase]]
  * Wenn Sie HTTPS nutzen, kann die folgende Browser Extension notwendig sein. Mit der Connector Adresse ''127.0.0.1'' funktioniert es aber in aller Regel ohne Browser Extension.:
      * [[de:installation:firefox_extension|Browser Extension für Mozilla Firefox]]

<WRAP center round important 90%>
**Halten Sie das System aktuell!**\\
Wenn Sie den Server im Internet freigeben, ist es unumgänglich das System ständig aktuell zu halten:\\
\\
//Windows:// Stellen Sie sicher, dass Sie immer auf das aktuellste [[http://open.untermstrich.com/httpserver:index|HTTP Server, PHP, ionCube Bundle]] aktualisieren.\\
//Ubuntu:// Aktivieren Sie die automatischen Sicherheitsupdates\\
</WRAP>


===== Weitere Absicherung =====
Per Apache kann man das System noch weiter absichern:
  * [[de:installation:ssl:basic_auth|Basic Auth]]
  * [[de:installation:hsts|Sicherheit durch HTTP Strict Transport Security]]
  * [[de:installation:https_only_cookie|Sicherheit durch HTTPS only cookie]]

===== Aktuelle Informationen =====

  - 12.12.2021 - Informationen zu Log4J – CVE-2021-44228 [[https://kunden.untermstrich.com/2021/12/13/zu2021-44228.html]]
    * [[de:butler:modify_office_files#Logging|Modify Office Files - Logging]]

===== Update des Servers =====


==== Update unter Linux/macOS ====
:!: Beachten Sie unbedingt die Informationen zu den [[de:installation:requirements#server|Systemanforderungen von untermStrich]].

Aktualisieren Sie Ihr System.

:!: Die Version des ionCube Loader muss mit Ihrer installierten PHP Version übereinstimmen. **Ansonsten wird der Apache nicht mehr starten!**

Passen Sie die Einbindung des ionCube Loader an - [[de:installation:new_installation|Siehe Installation
]].\\
Unter macOS müssen Sie meist auch das AllowOverride aktivieren!