Mozillas SSL-Konfigurationsgenerator

 (ssl-config.mozilla.org)
2 Punkte von GN⁺ 2025-11-16 | 1 Kommentare | Auf WhatsApp teilen
  • Ein Tool, das SSL/TLS-Konfigurationen passend für verschiedene Server-Software automatisch erzeugt
  • Unterstützt mehr als 20 Serverumgebungen wie Apache, nginx, HAProxy und Tomcat
  • Bietet drei Mozilla-KonfigurationsprofileModern, Intermediate und Old – zur Auswahl von Sicherheitsniveau und Kompatibilität
  • Erstellt angepasste Konfigurationen anhand von OpenSSL-Version und Serverversion, inklusive Option für HTTPS-Weiterleitung
  • Ein nützliches Tool, mit dem sich auf Basis von Mozillas Sicherheitsrichtlinien sichere Serverkonfigurationen einfach umsetzen lassen

Überblick

  • Der Mozilla SSL Configuration Generator ist ein webbasiertes Tool, das Serveradministratoren dabei unterstützt, sichere SSL/TLS-Konfigurationen unkompliziert zu erstellen
  • Auf Grundlage von Mozillas Sicherheitsrichtlinien und TLS-Empfehlungen erzeugt es automatisch Konfigurationsskripte passend zur jeweiligen Serverumgebung

Unterstützte Server-Software

  • Zu den unterstützten Zielen gehören Apache, AWS ALB/ELB, Caddy, Coturn, Dovecot, Exim, Go, HAProxy, Jetty, lighttpd, MySQL, nginx, Oracle HTTP, Postfix, PostgreSQL, ProFTPD, Redis, Squid, stunnel, Tomcat und Traefik
  • Für jeden Server stellt das Tool optimierte SSL-Konfigurationsvorlagen bereit

Mozilla-Konfigurationsprofile

  • Modern: Unterstützt TLS 1.3 und ist für aktuelle Dienste gedacht, bei denen keine Abwärtskompatibilität nötig ist
  • Intermediate: Für allgemeine Server unter Berücksichtigung der Kompatibilität mit verschiedenen Clients, für die meisten Systeme empfohlen
  • Old: Sollte nur verwendet werden, wenn die Kompatibilität mit sehr alten Clients erhalten bleiben muss

Konfigurationsoptionen

  • Durch Eingabe von Server Version und OpenSSL Version werden zur Umgebung passende Konfigurationen erzeugt
  • Beinhaltet eine HTTPS-Weiterleitungsfunktion und erfordert aktiviertes JavaScript

Hinweise und Ressourcen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-11-16
Hacker-News-Kommentare

  • In einem ähnlichen Zusammenhang gibt es Tools wie SecurityHeaders, mit denen man die Security-Header einer Website scannen kann, SSL Labs Test zum Prüfen von TLS-Konfigurationen und testssl.sh, mit dem sich Websites über die Kommandozeile scannen lassen
    Nützlich in Umgebungen ohne Internetzugang oder wenn automatisierte HTML-Reports erstellt werden sollen

    • Ich musste in einem internen Netzwerk scannen, aber testssl.sh war zu langsam, daher habe ich meinen selbstgebauten Scanner hello_tls verwendet
      Selbst mit Parallelisierung und deaktivierten Optionen dauerte es mindestens 20 Sekunden, das neue Tool ist jedoch 60- bis 100-mal schneller
      Es bietet zwar keine Schwachstellenanalyse, aber das Ziel war die Extraktion der Konfiguration
    • Mit der Security-Headers-Website bin ich allerdings nicht einverstanden
      Jeder Header hat eine andere Funktion, und je nach Zweck der Website gibt es auch Fälle, in denen man ihn nicht anwenden sollte
      Zum Beispiel ist ein CSP-Header oft vorhanden, aber in der Praxis bedeutungslos konfiguriert

  • Ich verstehe nicht, warum immer noch der Begriff „SSL“ verwendet wird
    Es wirkt, als hätte man die technische Entwicklung der letzten 10 Jahre vergessen

    • Ich verwende auch „TLS“, aber es ist nicht einfach
      Wenn man Kunden sagt, dass man ein TLS-Zertifikat einrichtet, reagieren viele besorgt und sagen: „Wir brauchen SSL“
      Am Ende ist es ein Bekanntheitsproblem. Normale Nutzer kennen TLS nicht, und Unternehmen verwenden weiter SSL, um Verwirrung zu vermeiden
      Auch die SSL-Seite von Cloudflare nutzt im Pfad SSL, obwohl der Inhalt sich auf TLS konzentriert, was verwirrend ist
    • SSL wurde in den 90ern von Netscape entwickelt und später zu TLS weiterentwickelt
      Da Netscape Navigator in Mozilla mündete, ist es nachvollziehbar, dass Mozilla den Begriff SSL noch häufig verwendet
    • Die Technik der letzten 10 Jahre hat aufgeblähten und komplexen Code hervorgebracht
      Die Welt wäre vermutlich besser dran, wenn 75 % der heute existierenden Software verschwinden würden
    • Früher gab es kein SSL, und als es erstmals erschien, war es eine teure, faszinierende Technologie
      Danach wurde es zum allgemeinen Begriff für verschlüsseltes HTTP, und auch nachdem der Protokollname zu TLS geändert wurde, nennt man es weiterhin SSL
    • Ich sage selbst immer noch oft SSL

  • Cipher-Konfigurationen sollten nicht Anwendungsentwicklern oder Operatoren überlassen werden
    Der Artikel TLS Cipher Suites im Go-Blog ist dazu lesenswert
    Der Mozilla SSL Configuration Generator ist großartig, aber eigentlich ein Tool, das es gar nicht geben sollte

    • Cipher-Konfigurationen verursachen hohe Wartungskosten und werden mit der Zeit immer ineffizienter
      Bibliotheken wie OpenSSL hatten bereits Cipher-Presets, daher ist es seltsam, dass der Generator diese nicht erweitert
      Mit einer Kombination wie „HIGH:!kRSA:!kEDH:!SHA1:!CAMELLIA:!ARIA“ kann man zum Beispiel Sicherheit wahren und zugleich moderne Algorithmen nutzen
      Solche Einstellungen verhindern, dass starke Cipher Suites wie ECC-Schlüssel oder ChaCha20 versehentlich deaktiviert werden
      Daher gibt es auch Server, die EdDSA oder post-quantum-hybride Algorithmen nicht unterstützen

  • Es ist ironisch, dass heute noch OCSP stapling aufgenommen wird
    Browser und Let's Encrypt haben OCSP faktisch bereits aufgegeben

  • Mozilla bietet auch einen Leitfaden für SSH-Konfigurationen an
    Siehe die OpenSSH-Sicherheitsrichtlinien

  • Es wäre gut, wenn es eine schlüsselfertige Konfiguration gäbe, bei der Serverentwickler nur das Jahr oder das Sicherheitsniveau (secure, medium, loose) angeben müssten
    Die Auswahl von SSL-Ciphern hat fast schon Cargo-Cult-Niveau, und ich habe keine Ahnung, was ich da tue

  • Ich habe mich gefragt, warum empfohlen wird, SSLHonorCipherOrder auf Off zu setzen

    • Auch nginx empfiehlt aus demselben Grund Off
      Die Cipher in den Stufen Modern und Intermediate sind alle sicher, daher ist es effizienter, dem Client die Wahl des zur Hardware passenden Ciphers zu überlassen
      Mehr dazu steht in diesem Issue-Kommentar und im Mozilla-Wiki

  • Schade, dass es im Konfigurationsgenerator keine Option für mTLS (gegenseitiges TLS) gibt
    In Situationen, in denen Client-Zertifikate nötig sind, wäre das sehr nützlich, aber vermutlich wurde es weggelassen, weil es zu nischig ist

    • Das Tool konzentriert sich auf die Einrichtung der anfänglichen Webserver-Kommunikation, daher liegen Authentifizierungsmechanismen außerhalb seines Umfangs
    • Für den Umgang mit Client-Zertifikaten braucht man fortgeschrittenes Wissen, etwa zum Aufbau einer CA, daher ist das klar ein begrenzter Bereich

  • Der Eintrag „AWS ELB“ scheint den Classic Load Balancer zu meinen
    Heute ist „AWS ALB“ der Application Load Balancer, daher ist die Terminologie verwirrend

    • Vermutlich existiert die Konfiguration noch aus der Zeit vor dem ALB und wurde seitdem nicht oft aktualisiert

  • Es wäre schön, wenn es ein ähnliches Tool für OpenSSL-Konfigurationen gäbe