Da ich viele verschiedene Websites betreue, brauche ich auch verschiedene nginx-Sicherheitsstufen um HSTS und weitere Sicherheitsfeatures zu aktivieren. Leider kann ich nicht immer aufs höchste Niveau gestellt werden, da es leider immer wieder passiert dass Google-Analytics oder andere Dritt-Scripts eingebunden werden.

Ich teile es in folgende Sicherheitsstufen ein

  • HTTPS High-Security

  • HTTPS Standard

  • HTTPS Low Security

Man muss aber anmerken, dass jegliche Konfiguration sicherer ist, als die Standard-Config.

High Security

Standard Security

Diese erlaubt ein Laden von Drittresourcen, ideal beispielsweise für eine Nextcloud. HSTS ist aber immer noch für die Haupt- und Subdomains erzwungen.

Low Security

Dies ist eine herabgesetzte Config, die HSTS nicht erzwingt. Ideal für Websites, die nicht komplett in der alleinigen Kontrolle sind.

Weitere Absicherungsmöglichkeiten

In den Configs wurde bereits ein ssl_dhparam erwähnt. Durch moderne Algorithmen werden Diffie-Hellmann-Parameter zwar seltener verwendet, aber der Standard liegt bei 1024-Bit und damit sehr unsicher.

Wir generieren einen Key mit 4096-Bit Größe, um ausreichend abgesichert zu sein: