HTTP 2 installieren auf Debian

    Hallo,


    ich möchte gerne HTTP 2 auf dem Server nutzen.
    Alle Seiten werden per https ausgeliefert.
    Hierfür habe ich Apache/2.4.18 (Debian) auf dem Server installiert


    Code
    a2enmod http2 
service apache2 restart



    Code
    nano /etc/apache2/apache2.conf 
Protocols h2 http/1.1 (hinzugefügt) 
service apache2 restart


    Nun ist laut HTTP/2 Test | A simple HTTP/2.0 test tool http2 aktiviert
    im IE und Chrome wird die Website nicht als http2 ausgeliefert.


    Muss ich noch weitere Änderungen am System machen?

    Hast du die entsprechenden Cipher(n) aktiviert?


    Im RFC 7540 siehst du welche du nicht nutzen darfst https://tools.ietf.org/html/rfc7540#appendix-A


    Du kannst quasi alle GCM Ciphern nutzen, die legacy cipher kannst du hinten anstellen


    Meine Cipher sind:

    Code
    ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA384;
    Zitat von killerbees19

    apache2 cipher



    ich verstehe den befehl nicht wirklich.
    muss ich

    Code
    apache2 cipher ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA384;


    eingeben?

    Siehst Du Dir bitte den geposteten Link an? :)


    Mit "apache2 cipher" meinte ich nur, dass das jede Suchmaschine sofort findet.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Ich glaub du blickst noch nicht so ganz durch bei dem SSL Thema was ich dir nicht übel nehmen kann, haha. Also wenn du möchtest das ein Webserver die Verbindung verschlüsselt brauchst du SSL so what? SSL steht für SecureSocketLayer damit das funktioniert brauchst du ein Certificate und Algorithmen, so Algorithmen gibt es natürlich nicht einen sondern einen ganzen Haufen weil alle sich unterscheiden. Das Wort Verschlüsseln kannst du auch als Chiffrieren bezeichnen was uns zum Wort cipher cipher-suite führt was das eigentliche Thema ist. So warum brauch ich eine cipher-suite? Ein cipher/Algorithmus reicht doch vollkommen oder? Nein, das Problem liegt daran das Betriebsysteme, Browser unterschiedliche cipher/verschlüsselungen unterstützen das kann von Architektur bis sonst wohin reichen als Begründung dafür. Damit du eine hohe kompatiblität gewährleisten kannst brauchst du eine suite/sammlung in der deine cipher enthalten sind mit denen der Server verschlüsseln darf, den nicht jeder cipher gilt als sicher. Das was du als Befehl verstehst ist nur eine Sammlung von Algorithmen mit denen dein Server verschlüsseln darf laut RFC7540 HTTP2 Standart, wie man sieht ist dort kein Algorithmus schwächer als 128bit was gut so ist. Die cihper-suite definierst du in der Regel in deiner vHost-Konfigurationsdatei unten hat dir Killerbees bereits einen Link gepostet wie du die Cipher richtig einbaust. Im Anschluss kannst du das mit SLLLabs z.b. Überprüfen.


    Hier hast du noch ein Beispiel wie ein strong-ssl-webserver aussieht(mine): SSL Server Test: law.rootxnetwork.de (Powered by Qualys SSL Labs)



    Es kann durchaus sein das ich etwas falsch oder unvollständig erklärt habe, ich freue mich gerne über verbesserungen.