Menü
Avatar von Darkudorus
  • Darkudorus

mehr als 1000 Beiträge seit 09.03.2016

X-XSS-Protection, X-Content-Type-Options,Content-Security-Policy nicht vergessen

https://securityheaders.io/?q=https%3A%2F%2Fwww.heise.de&followRedirects=on

CSP: Flash blockieren wäre doch schonmal drin? oder upgrade-insecure-requests; disown-opener etc.
Muss ja nicht nur Report-Only sein

Referrer-Policy: same-origin https://w3c.github.io/webappsec-referrer-policy/

Und euer Mailserver kann noch keine AEAD-Ciphers (AES-GCM). DMARC fehlt auch. RC4 bitte deaktivieren! (https://discovery.cryptosense.com/analyze/heise.de/84a8e0e)

DNS: Ein CAA Record wäre ein nice to have. DNSSEC mit PowerDNS ist zu empfehlen (am besten mit ECDSA).

TLS (generell): 2048 bit RSA mit secp384r1 ECDSA ersetzen oder zumindest ein Dual Certificate Deployment und ECDSA-Chiffren vorziehen.

HTTPS: OCSP-Stapling (geht doch in nginx problemlos), http/2 für eine bessere Performance!

Cookies: Secure Flag setzen, dem Cookienamen ein "__Host-" voranstellen.

Übersicht: https://wiki.terrax.net/wiki/Standard

Beispielseite/Mailserver: https://perfektesgewicht.de
https://dev.ssllabs.com/ssltest/analyze.html?d=perfektesgewicht.de&s=2a01%3a4f8%3a172%3a11af%3a0%3a0%3a0%3a10&hideResults=on
https://securityheaders.io/?q=https%3A%2F%2Fperfektesgewicht.de&hide=on&followRedirects=on
https://discovery.cryptosense.com/analyze/perfektesgewicht.de/1bf4295
http://dnsviz.net/d/perfektesgewicht.de/dnssec/
https://de.ssl-tools.net/webservers/perfektesgewicht.de
https://de.ssl-tools.net/mailservers/perfektesgewicht.de
https://hstspreload.org/?domain=perfektesgewicht.de

Das Posting wurde vom Benutzer editiert (06.01.2017 17:19).

Bewerten
- +