Mehr Sicherheit durch aktuelle SSL/TLS-Versionen in Plesk
Unterstützt dein Server noch TLS 1.0 oder 1.1? Diese Protokolle gelten als unsicher und sollten deaktiviert werden. So konfigurierst du Plesk für maximale SSL-Sicherheit.
Das Problem: Veraltete TLS-Versionen
Viele Server unterstützen noch TLS 1.0 und 1.1 – obwohl diese Versionen bekannte Sicherheitslücken haben:
- TLS 1.0 (1999): Anfällig für BEAST, POODLE
- TLS 1.1 (2006): Veraltet, wird von Browsern abgelehnt
- TLS 1.2 (2008): Sicher, wenn richtig konfiguriert
- TLS 1.3 (2018): Aktuell und sehr sicher
Schritt 1: Nur TLS 1.2 und 1.3 erlauben
Verbinde dich per SSH und führe aus:
plesk bin server_pref -u -ssl-protocols 'TLSv1.2 TLSv1.3'Wichtig: Ältere Geräte und Browser können danach keine Verbindung mehr aufbauen. Das betrifft:
- Internet Explorer 10 und älter
- Android 4.3 und älter
- Sehr alte E-Mail-Clients
Für die meisten Websites ist das kein Problem – diese Browser werden kaum noch genutzt.
Schritt 2: Sichere Cipher Suites konfigurieren
Cipher Suites bestimmen, welche Verschlüsselungsalgorithmen verwendet werden. Nur starke Algorithmen erlauben:
Für TLS 1.3 (automatisch sicher)
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256Für TLS 1.2
plesk bin server_pref -u -ssl-ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256'Schritt 3: CAA-Records setzen
CAA-Records legen fest, welche Zertifizierungsstellen SSL-Zertifikate für deine Domain ausstellen dürfen. Das verhindert, dass jemand unberechtigt Zertifikate erhält.
Im DNS einen TXT-Record anlegen:
Type: CAA
Name: @
Value: 0 issue "letsencrypt.org"Falls du andere CAs nutzt:
0 issue "letsencrypt.org"
0 issue "sectigo.com"
0 issue "digicert.com"SSL-Konfiguration testen
Prüfe deine Konfiguration auf ssllabs.com/ssltest:
| Rating | Bedeutung |
|---|---|
| A+ | Exzellent – HSTS aktiv |
| A | Sehr gut – sichere Konfiguration |
| B | Akzeptabel – Verbesserungspotenzial |
| C-F | Probleme – Handlungsbedarf |
HSTS aktivieren (für A+ Rating)
HTTP Strict Transport Security zwingt Browser, immer HTTPS zu nutzen:
In Plesk unter Domains → [Domain] → Hosting-Einstellungen:
- HSTS aktivieren
- Max-age: 31536000 (1 Jahr)
- Subdomains einschließen
Oder per .htaccess:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"Zusammenfassung
| Maßnahme | Befehl/Aktion |
|---|---|
| TLS 1.2/1.3 only | plesk bin server_pref -u -ssl-protocols 'TLSv1.2 TLSv1.3' |
| Sichere Ciphers | Cipher-Suite-Befehl (siehe oben) |
| CAA-Records | DNS-Eintrag beim Domain-Provider |
| HSTS | In Plesk aktivieren |
Fazit
Mit diesen vier Maßnahmen erreichst du ein A+ SSL-Rating und schützt deine Server-Kommunikation optimal. Der Aufwand ist gering, der Sicherheitsgewinn erheblich.
Weiterführende Artikel:
- SPF einrichten für E-Mail-Sicherheit – E-Mails vor Spoofing schützen
- Managed Server: Der Leitfaden – Server ohne Verwaltungsaufwand
Du möchtest deinen Server sicherheitstechnisch auf den neuesten Stand bringen? Kontaktiere mich – ich übernehme das gerne für dich.