Lighttpd SSL Update

Veröffentlich am 2019-10-19 by Malte

Wie einige wissen, habe ich eine Zeitlang mal lighttpd genutzt. Dazu habe ich hier eine Anleitung geschrieben. Da diese Anleitung über ein Jahr alt ist, hier mal ein SSL Update.

lighttpd SSL Konfiguration

Es muss die Datei /etc/lighttpd/conf-available/10-ssl.conf bearbeitet werden, und so aussehen:

$SERVER["socket"] == ":443" {
    protocol     = "https://"
    ssl.engine   = "enable"
    ssl.disable-client-renegotiation = "enable"

    # Environment flag for HTTPS enabled
    setenv.add-environment = (
        "HTTPS" => "on"
    )

    # modern configuration, tweak to your needs
    ssl.openssl.ssl-conf-cmd = ("Protocol" => "ALL, -SSLv2, -SSLv3, -TLSv1, -TLSv1.1, -TLSv1.2")
    ssl.cipher-list           = ""
    ssl.honor-cipher-order    = "disable"

    # HTTP Strict Transport Security (63072000 seconds
    setenv.add-response-header  = (
        "Strict-Transport-Security" => "max-age=63072000"
    )
    $HTTP["host"] =~ "(^|\.)example\.de$" {
     ssl.pemfile = "/etc/lighttpd/ssl/example.de.pem"
     ssl.ca-file = "/etc/lighttpd/ssl/fullchain.pem"
    }


    $HTTP["host"] =~ "(^|\.)example\.com$" {
     ssl.pemfile = "/etc/lighttpd/ssl/example.com.pem"
     ssl.ca-file = "/etc/lighttpd/ssl/fullchain.pem"
    }
}

Achtung: für diese Konfiguration muss der Server TLSv1.3 unterstützen, was mit OpenSSL Version 1.1.1 eingeführt wurde!