Server Ubuntu 12.04/64 LTS mit Apache 2.2.22 - echter physikalischer Server (Serverlast wird kein Problem!)
Ca. 20 Nutzer https mit Basic Authentication, aktuelle Browser
Ich trage mich schon länger mit dem Gedanken, ein neues Zertifikat selbst zu erzeugen. Ich will dabei für Apache schwache Verschlüsselungen ausschließen. Die Ereignisse um Beartbeat heute sorgen dafür, dass ich das nun zügig angehen möchte. (ich werde zudem auch alle Passworte der Basic Authentication wechseln, klar.)
Problem ist, dass ich das so selten mache. Insoweit fehlen Erfahrungen (und teils Begrifflichkeiten), da lauert wohl die größte Gefahr. Ich bitte um Hinweise und kritische Begleitung:
Bezüglich der Zertifikatserstellung will ich mich stur an http://wiki.ubuntuusers.de/Apache/SSL halten. Ich nehme an, dass die Anleitung aktuell ist.
Schwieriger wird schon die Apache-Konfiguration. ECDHE ist für Apache 2.2 nicht verfügbar, auf den ersten Blick geht PFS daher nicht. Auf den zweiten Blick schon, wie http://debianforum.de/forum/viewtopic.php?f=8&t=143347 verrät: DHE-* muss "angeschaltet" sein. Nur - wie?
Und an genau dieser Stelle gucke ich etwas hilflos und unglücklich: Wie müssen denn die fraglichen Einträge in der Apache-config aussehen, dass unbedingt PFS erwungen wird und gleichzeitig unsichere Kandidaten wie RC4 und andere definitiv nicht zugelassen sind?
Letzte Frage: Habe ich eine Frage vergessen?