manually merge in sebi's changes. git merge got confused. Or i did :)
authorAaron Kaplan <aaron@lo-res.org>
Mon, 23 Dec 2013 23:56:40 +0000 (00:56 +0100)
committerAaron Kaplan <aaron@lo-res.org>
Mon, 23 Dec 2013 23:56:40 +0000 (00:56 +0100)
src/practical_settings/webserver.tex

index 2efa748..4c16a0c 100644 (file)
@@ -3,12 +3,20 @@
 %%---------------------------------------------------------------------- 
 \subsection{Apache}
 
-\subsubsection{Tested with Version} \todo{FIXME: add}
+\subsubsection{Tested with Versions} \todo{FIXME: add}
+%\begin{itemize}
+%\end{itemize}
+
 
 \subsubsection{Settings} 
 
+Enabled modules \emph{SSL} and \emph{Headers} are required.
+
+
 %-All +TLSv1.1 +TLSv1.2
 \begin{lstlisting}[breaklines]
+  SSLCertificateFile server.crt
+  SSLCertificateKeyFile server.key
   SSLProtocol All -SSLv2 -SSLv3 
   SSLHonorCipherOrder On
   SSLCompression off
@@ -39,9 +47,11 @@ You might want to redirect everything to httpS:// if possible. In Apache you can
   </VirtualHost>
 \end{lstlisting}
 
-\subsubsection{Justification for special settings (if needed)}
+%\subsubsection{Justification for special settings (if needed)}
 
 \subsubsection{References}
+\url{https://httpd.apache.org/docs/2.4/ssl/}
+
 
 \subsubsection{How to test}
 
@@ -57,6 +67,11 @@ See section \ref{section:Tools}
 
 %%\begin{description}
 \subsubsection{Tested with Version}
+\begin{itemize}
+\item lighttpd/1.4.31-4 with OpenSSL 1.0.1e on Debian Wheezy
+\item lighttpd/1.4.33 with OpenSSL 0.9.8o on Debian Squeeze (note that TLSv1.2 does not work in openssl 0.9.8 thus not all ciphers actually work)
+\item lighttpd/1.4.28-2 with OpenSSL 0.9.8o on Debian Squeeze (note that TLSv1.2 does not work in openssl 0.9.8 thus not all ciphers actually work)
+\end{itemize}
 
 \todo{version?}
 
@@ -82,7 +97,12 @@ See section \ref{section:Tools}
 
 \subsubsection{Additional settings}
 
-As for any other webserver, you might want to automatically redirect http traffic toward httpS://
+As for any other webserver, you might want to automatically redirect http
+traffic toward httpS:// It is also recommended to set the environment variable
+\emph{HTTPS}, so the applications run by the webserver can easily detect, that
+HTTPS is in use.
+
+
 
 \begin{lstlisting}[breaklines]
   $HTTP["scheme"] == "http" {
@@ -92,12 +112,35 @@ As for any other webserver, you might want to automatically redirect http traffi
         url.redirect = (".*" => "https://%0$0")
     }
   }
+  # Set the environment variable properly
+  setenv.add-environment = (
+            "HTTPS" => "on"
+        )
+  }
 \end{lstlisting}
 
 
-\subsubsection{References} \todo{add references to lighttpd SSL settins documentation}.
+\subsubsection{Additional information} 
+The config option \emph{honor-cipher-order} is available since 1.4.30, the
+supported ciphers depend on the used OpenSSL-version (at runtime). ECDH has to
+be available in OpenSSL at compile-time, which should be default. SSL
+compression should by deactivated by default at compile-time (if not, it's
+active).
+
+Support for other SSL-libraries like GnuTLS will be available in the upcoming
+2.x branch, which is currently under developement.
+
+
+\subsubsection{References} 
+
+\begin{itemize}
+        \item HTTPS redirection: \url{http://redmine.lighttpd.net/projects/1/wiki/HowToRedirectHttpToHttps}
+        \item Lighttpd Docs SSL: \url{http://redmine.lighttpd.net/projects/lighttpd/wiki/Docs\_SSL}
+        \item Release 1.4.30 (How to mitigate BEAST attack) \url{http://redmine.lighttpd.net/projects/lighttpd/wiki/Release-1\_4\_30}
+        \item SSL Compression disabled by default: \url{http://redmine.lighttpd.net/issues/2445}
+\end{itemize}
+
 
-lighttpd httpS:// redirection: \url{http://redmine.lighttpd.net/projects/1/wiki/HowToRedirectHttpToHttps}
 
 
 \subsubsection{How to test}