HTTPS ist die Grundlage. Aber ist Ihre TLS-Konfiguration wirklich sicher?
Zertifikat¶
- ☐ Gültiges Zertifikat (kein Self-Signed in Produktion)
- ☐ Automatische Erneuerung (Let’s Encrypt + certbot)
- ☐ Certificate Chain vollständig
- ☐ Wildcard oder SAN für Subdomains
Protokolle¶
- ☐ TLS 1.2 Minimum
- ☐ TLS 1.3 bevorzugt
- ☐ SSL 2.0/3.0 und TLS 1.0/1.1 DEAKTIVIERT
- ☐ Starke Cipher Suites
- ☐ Forward Secrecy (ECDHE)
Headers¶
- ☐ HSTS (Strict-Transport-Security)
- ☐ HTTP → HTTPS Redirect
- ☐ HSTS Preload (optional)
- ☐ Expect-CT (deprecated, aber weiterhin nützlich)
Testen¶
- ☐ SSL Labs Test (A+ Rating)
- ☐ Certificate Expiry Monitoring
- ☐ Mixed Content Check
- ☐ OCSP Stapling funktioniert
Automatisierung¶
Let’s Encrypt + certbot –renew = keine abgelaufenen Zertifikate.
ssltlssecurity