iptables REJECT

So wird SSLv3 deaktiviert: Apache, Nginx, Postfix, Dovecot, Chrome, Firefox & IE

Seitdem vergangenen Wochenende ist nun öffentlich bekannt geworden, dass SSLv3 eine Lücke hat und es dafür keinen Patch mehr geben wird. Daher ist man besser beraten, wenn man SSLv3 (ca. 18 Jahr alt) deaktiviert und auf TLS (ca. 15 Jahre alt) setzt. Jetzt gilt es sich vor einem möglichen POODLE-Angriff zu schützen. Ein paar Tweets zum Thema SSL/TLS hatte ich gestern auch schon gepostet. Nun sind aber einige Mails und DMs bei mir angekommen, wo ihr wissen wollt wie man SSLv3 deaktiviert. Ich hab das für Euch mal kurz zusammengefasst und neben SSLv3 wird auch gleich SSLv2 deaktiviert:

Apache
Je nachdem wie euer Apache Webserver konfiguriert ist, muss die folgende Zeil in die „httpd.conf“ oder in die entsprechende VHOST-Datei:
# Apache bis Version 2.2.22
SSLProtocol all -SSLv2 -SSLv3
# Apache ab Version 2.2.23
SSLProtocol TLSv1 TLSv1.1 TLSv1.2

Nginx
Bei Nginx muss die folgende Zeile hinzugefügt werden:
ssl_protocols TLSv1.1 TLSv1.2 TLSv1;

Postfix
Die Konfigurationsdatei „main.cf“ von Postfix muss mit diesen Zeilen angpasst werden:
smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2 !SSLv3

Dovecot (ab Version 2.1)
Auch wenn es vielleicht ziemlich unwahrscheinlich ist das über IMAPS was kommt, hier die Zeile für Dovecot:
ssl_protocols = !SSLv2 !SSLv3

Continue reading…

NGINX

Nginx: SSL Zertifikat anfordern und einrichten

Inzwischen ist es sicherlich bei jedem angekommen, dass Google in nächster Zukunft Websites mit HTTPS (SSL/TLS) besser im Ranking bewertet als HTTP. Ich kann diesen Schritt nur begrüßen, doch leider finde ich diesen Schritt auch etwas zu spät. Das hätte man auch schon vor den ganzen NSA-Enthüllungen forcieren können. Aber besser spät als nie. Es ist immer noch unglaublich wie viele Daten unverschlüsselt im Internet übertragen werden. Sei es die Anmeldung bei einigen WordPress-Backends oder Verbidnung von eine App zu einem Server. Da gibt es noch eine Menge Nachholbedarf.
Vielen haben eine Website möchte diese nun per HTTPS absichern (und ein besseres Ranking bei Google bekommen), aber wissen nicht wie man das macht.
Continue reading…

WebP

Bildformat WebP nutzen – Einbinden und konvertieren

Vor einiger Zeit habe ich in dem Blog von Sergej Müller über das sparsame Bildformat WebP etwas gelesen. Es wird manchmal auch schon als der JPEG-Nachfolger gehandelt, aber das wird man sehen ob es das wirklich wird. Was WebP jetzt schon verspricht, bessere Qualität als JPEG bei kleinerer Dateigröße. Wie WebP funktioniert kann man bei Wikipedia und Google nachlesen. Obwohl es bis jetzt nur wenige Browser unterstützen, habe ich es heute bei mir mal eingebunden. Die Einrichtung geht schnell und unkompliziert:

Continue reading…

Google Rich Snippets mit Schema.org

Schema.org – Nützliche Zusatzinformationen für Suchmaschinen

Seit Monaten hatte ich mir vorgenommen mich mit dem Schema zu beschäftigen. Nein, nicht mit dem Schema aus der TV-Serie Fringe, sondern mit Schema.org. ;)

Moderne Websites und Themes setzen heute auf Schema.org. Schema.org ist eine Initiative der größten Suchmaschinen der Welt Google, Bing, Yahoo und Yandex. Ziel dieser Initiative ist es, die Inhalte und Struktur einer Website besser zu verstehen und zuzuordnen. Mit Hilfe von HTML-Markups werden die Inhalte und die Struktur der Website beschrieben. Dadurch wird es den Suchmaschinen leichter gemacht den Inhalt besser zu interpretieren. Suchergebnisse können dadurch besser dargestellt werden und bieten mitunter auch einen Mehrwert (Thema Rich Snippets). Zum Beispiel können Termine von Kochkursen mit dem Suchergebnis dargestellt werden:

Suchergebnis "Event" mit den Terminen

Suchergebnis „Event“ mit den Terminen

Rezepte werden nicht nur mit einem Bild dargestellt, sondern auch gleichzeitig mit Bewertung:

Suchergebnis "Rezept" mit Bild und Bewertung

Suchergebnis „Rezept“ mit Bild und Bewertung

Continue reading…

Websenat Suchergebnis ohne Foto

Probleme mit Umlauten beim Google Authorship

Ich wunderte mich schon seit einiger Zeit, warum bei den ganzen Websenat Blogposts kein Bild mehr bei den Google Suchergebnissen angezeigt wird. Das gibt es schon ein paar Monate (vielleicht auch schon Jahre) und viele Websites/Blogs haben das inzwischen eingebunden. Damit ein Bild neben dem Suchergebniss angezeigt wird, muss man ein Link auf der Website zu seinem Google+ Profil anlegen. Wie das ganze funktioniert beschreibt Google in dem Beitrag Autoreninformationen in Suchergebnissen.

Zum Google+ Start gab es damals nur die Google+ ID über die man sich identifizieren konnte. Inzwischen kann man die Google+ ID in seinen Namen ändern. Was in meinem Fall zu dem Problem geführt hat. Ich dachte der Name im Link ist schöner als die lange Google+ ID und änderte das in meinen Websites. Nur leider scheint Google Probleme mit Umlauten (oder ähnliches) im Link zu haben und zeigt dann das Bild neben dem Suchergebnis nicht mehr an. Eine kurze Recherche bei Google offenbarte, dass es andere Nutzer mit gleichem Problem gibt. Eine Lösung von Google gibt es derzeit. Einzige Lösung: Statt den Namen wieder die Google+ ID nehmen. Die funktioniert auch weiterhin.