Will man nicht gerade alles selber compilieren, dann nimmt der bequeme Admin gerne auch eine normale main-stream-Distribution. In dem Falle Debian 7.1 was so ziemlich jeder VHost Anbieter können sollte. Dabei allerdings einen Webserver zu finden, der PFS beherrscht, also die Perfect forward secrecy, ist eine Baustelle für sich. Aktueller Stand der Lösung ist:

  • keinen Apache nutzen
  • nginx der Distribution nutzen
  • eintragen von ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
  • eintragen von ssl_ciphers AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES128-SHA:RC4:HIGH:!MD5:!aNULL:!EDH;
  • eintragen von ssl_prefer_server_ciphers on;

Und dann noch ein allgemein gültiges Zertifikat von z.B. startssl geholt und dann letztendlich via ssltest das ganze geprüft:

 ssllabls1

 ssllabls2