<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>lighttpd Archive - Maximilian Krieg</title>
	<atom:link href="https://maximiliankrieg.de/tag/lighttpd/feed/" rel="self" type="application/rss+xml" />
	<link>https://maximiliankrieg.de/tag/lighttpd/</link>
	<description>Wissen, Technik &#38; Erfahrungen</description>
	<lastBuildDate>Fri, 29 May 2026 08:18:06 +0000</lastBuildDate>
	<language>de</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	<generator>https://wordpress.org/?v=7.0</generator>

<image>
	<url>https://maximiliankrieg.de/wp-content/uploads/2026/05/cropped-20260524_logo_2_512-2-32x32.png</url>
	<title>lighttpd Archive - Maximilian Krieg</title>
	<link>https://maximiliankrieg.de/tag/lighttpd/</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>HTTP Strict Transport Security (HSTS) für Lighttpd aktivieren</title>
		<link>https://maximiliankrieg.de/2016/02/http-strict-transport-security-hsts-fuer-lighttpd-aktivieren/</link>
					<comments>https://maximiliankrieg.de/2016/02/http-strict-transport-security-hsts-fuer-lighttpd-aktivieren/#respond</comments>
		
		<dc:creator><![CDATA[Maximilian]]></dc:creator>
		<pubDate>Mon, 01 Feb 2016 22:44:00 +0000</pubDate>
				<category><![CDATA[Server und Website]]></category>
		<category><![CDATA[blog]]></category>
		<category><![CDATA[hsts]]></category>
		<category><![CDATA[https]]></category>
		<category><![CDATA[lighttpd]]></category>
		<guid isPermaLink="false">https://maximiliankrieg.de/?p=1279</guid>

					<description><![CDATA[<p>Nach einem Update meines ownCloud-Servers, bin ich vom selbigen darauf hingewiesen worden, dass ich doch bitte&#160;HTTP Strict Transport Security (HSTS) auf meinem Webserver aktivieren und&#8230;</p>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2016/02/http-strict-transport-security-hsts-fuer-lighttpd-aktivieren/">HTTP Strict Transport Security (HSTS) für Lighttpd aktivieren</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">Nach einem Update meines ownCloud-Servers, bin ich vom selbigen darauf hingewiesen worden, dass ich doch bitte&nbsp;HTTP Strict Transport Security (HSTS) auf meinem Webserver aktivieren und mit den geeigneten Parametern konfigurieren soll. Was HSTS ist und wie man es in Lighttpd konfiguriert, möchte ich in dem heutigen Beitrag kurz anreißen.</p>



<h3 class="wp-block-heading">Definition</h3>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">Mit HSTS können einerseits (HTTP-)Server vorgeben, dass man die angebotenen Dienste ausschließlich über sichere, etwa per TLS verschlüsselte Verbindungen erreicht. Andererseits zwingt HSTS auch Anwendungsprogramme (User Agents) dazu, die Kommunikation mit Websites nur über verschlüsselte Verbindungen abzuwickeln.http://www.heise.de/netze/meldung/HTTP-Strict-Transport-Security-als-Internet-Standard-1754184.html</p>
</blockquote>



<p class="wp-block-paragraph">Der Vorteil einer Seite mit HSTS ist es, dass ein initialer Seitenaufruf über HTTP sofort unterbunden und stattdessen nur der verschlüsselte Kanal genutzt wird. Potenzielle Man-in-the-Middle-Angriffe können somit weiter eingeschränkt werden. Ein signifikanter Nachteil entsteht jedoch im Bereich des Datenschutzes, wie die folgende Quelle gut erklärt.</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">Damit das HSTS-Verfahren funktioniert [&#8230;], muss sich der Browser des Benutzers merken, auf welchen Webseiten HSTS genutzt werden soll. Dafür werden die entsprechenden Einträge, ähnlich zu Cookies, in einer Browserdatenbank gespeichert. Anders als gewöhnliche Cookies werden die HSTS-Einträge allerdings aufgrund der eigentlichen Sicherheitsfunktion auch im privaten Modus des Browsers [&#8230;] aktiviert und können von den besuchten Webseiten überprüft werden.https://www.datenschutz-notizen.de/hsts-sicherheitsfunktion-erzeugt-datenschutzprobleme-3010259/</p>
</blockquote>



<p class="wp-block-paragraph">Nichtsdestotrotz aktiviere ich die Funktion, da die potenziellen Vorteile der Sicherheit für mich die Nachteile im Datenschutz überwiegen.</p>



<h3 class="wp-block-heading">Lighttpd-Konfiguration</h3>



<p class="wp-block-paragraph">Lighttpd ist relativ einfach zu konfigurieren. Eine Anpassung an der&nbsp;<code>/etc/lighttpd/lighttpd.conf</code>-Datei genügt, um die Funktion für den Webserver zu aktivieren. Eine detaillierte Anleitung für unterschiedliche Webserver ist auf&nbsp;<a href="https://raymii.org/s/tutorials/HTTP_Strict_Transport_Security_for_Apache_NGINX_and_Lighttpd.html">raymii.org</a>&nbsp;zu finden.</p>



<pre class="wp-block-code"><code>server.modules += ( "mod_setenv" )
$HTTP&#91;"scheme"] == "https" {
    setenv.add-response-header  = ( "Strict-Transport-Security" =&gt; "max-age=63072000; includeSubdomains; preload")
}</code></pre>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2016/02/http-strict-transport-security-hsts-fuer-lighttpd-aktivieren/">HTTP Strict Transport Security (HSTS) für Lighttpd aktivieren</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://maximiliankrieg.de/2016/02/http-strict-transport-security-hsts-fuer-lighttpd-aktivieren/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Starke SSL-Verschlüsselung mit Lighttpd</title>
		<link>https://maximiliankrieg.de/2015/08/starke-ssl-verschluesselung-mit-lighttpd/</link>
					<comments>https://maximiliankrieg.de/2015/08/starke-ssl-verschluesselung-mit-lighttpd/#respond</comments>
		
		<dc:creator><![CDATA[Maximilian]]></dc:creator>
		<pubDate>Mon, 17 Aug 2015 21:38:00 +0000</pubDate>
				<category><![CDATA[Server und Website]]></category>
		<category><![CDATA[blog]]></category>
		<category><![CDATA[lighttpd]]></category>
		<category><![CDATA[ssl]]></category>
		<guid isPermaLink="false">https://maximiliankrieg.de/?p=1271</guid>

					<description><![CDATA[<p>Lighttpd&#160;ist ein freier Webserver, der alle wichtigen Funktionen eines Webservers besitzt und eine Alternative zum Webserver&#160;Apache&#160;darstellt. Zusammen mit dem Verschlüsselungsprotokoll&#160;Secure Sockets Layer (SSL)&#160;bildet er die&#8230;</p>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/08/starke-ssl-verschluesselung-mit-lighttpd/">Starke SSL-Verschlüsselung mit Lighttpd</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph"><em>Lighttpd</em>&nbsp;ist ein freier Webserver, der alle wichtigen Funktionen eines Webservers besitzt und eine Alternative zum Webserver&nbsp;<em>Apache</em>&nbsp;darstellt. Zusammen mit dem Verschlüsselungsprotokoll&nbsp;<em>Secure Sockets Layer (SSL)</em>&nbsp;bildet er die Grundlage für viele Webseiten im&nbsp;<em>World Wide Web (WWW)</em>. Nach der Erneuerung meines&nbsp;<em>SSL</em>-Zertifikats habe ich meinen Server durch den&nbsp;<em>SSL Server Test</em>&nbsp;von Qualys (<a href="https://www.ssllabs.com/ssltest/">Link</a>) überprüfen lassen und habe eine mittelmäßige C-Wertung erhalten. Eine solche Wertung ist für mich unbefriedigend und daher beschreibe ich in diesem Artikel die Schritte, um eine gute A-Wertung zu erreichen.</p>



<h3 class="wp-block-heading">Symptom</h3>



<p class="wp-block-paragraph">Der&nbsp;<em>SSL Server Test</em>&nbsp;hat eine mittelmäßige Bewertung ergeben und weist darauf hin, dass mein Server noch die schwache&nbsp;<em>RC4</em>-Stromchiffre unterstützt und keine Unterstützung von&nbsp;<em>Forward Secrecy</em>&nbsp;für&nbsp;bestimmte Browser leistet&nbsp;<em>(vgl. Abb. 1)</em>.</p>



<figure data-wp-context="{&quot;imageId&quot;:&quot;6a491711aba6e&quot;}" data-wp-interactive="core/image" data-wp-key="6a491711aba6e" class="wp-block-image size-full wp-lightbox-container"><img fetchpriority="high" decoding="async" width="808" height="501" data-wp-class--hide="state.isContentHidden" data-wp-class--show="state.isContentVisible" data-wp-init="callbacks.setButtonStyles" data-wp-on--click="actions.showLightbox" data-wp-on--load="callbacks.setButtonStyles" data-wp-on--pointerdown="actions.preloadImage" data-wp-on--pointerenter="actions.preloadImageWithDelay" data-wp-on--pointerleave="actions.cancelPreload" data-wp-on-window--resize="callbacks.setButtonStyles" src="https://maximiliankrieg.de/wp-content/uploads/2026/02/20150817-grade-c.png" alt="" class="wp-image-1272" title="C-Grad-Bewertung nach Qualys" srcset="https://maximiliankrieg.de/wp-content/uploads/2026/02/20150817-grade-c.png 808w, https://maximiliankrieg.de/wp-content/uploads/2026/02/20150817-grade-c-300x186.png 300w, https://maximiliankrieg.de/wp-content/uploads/2026/02/20150817-grade-c-768x476.png 768w" sizes="(max-width: 808px) 100vw, 808px" /><button
			class="lightbox-trigger"
			type="button"
			aria-haspopup="dialog"
			data-wp-bind--aria-label="state.thisImage.triggerButtonAriaLabel"
			data-wp-init="callbacks.initTriggerButton"
			data-wp-on--click="actions.showLightbox"
			data-wp-style--right="state.thisImage.buttonRight"
			data-wp-style--top="state.thisImage.buttonTop"
		>
			<svg xmlns="http://www.w3.org/2000/svg" width="12" height="12" fill="none" viewBox="0 0 12 12">
				<path fill="#fff" d="M2 0a2 2 0 0 0-2 2v2h1.5V2a.5.5 0 0 1 .5-.5h2V0H2Zm2 10.5H2a.5.5 0 0 1-.5-.5V8H0v2a2 2 0 0 0 2 2h2v-1.5ZM8 12v-1.5h2a.5.5 0 0 0 .5-.5V8H12v2a2 2 0 0 1-2 2H8Zm2-12a2 2 0 0 1 2 2v2h-1.5V2a.5.5 0 0 0-.5-.5H8V0h2Z" />
			</svg>
		</button><figcaption class="wp-element-caption">C-Grad-Bewertung nach Qualys</figcaption></figure>



<p class="wp-block-paragraph">Die genauere Betrachtung der Auswertung wird hier nicht diskutiert. Viele der Einstellungen können jedoch zu&nbsp;ernsthaften Problemen im Zusammenhang mit neuartigen&nbsp;Angriffen führen.</p>



<h3 class="wp-block-heading">Problem</h3>



<p class="wp-block-paragraph">Die Konfiguration des Webservers ist nicht auf dem aktuellen Stand.</p>



<h3 class="wp-block-heading">Lösungsstrategie</h3>



<p class="wp-block-paragraph">Für meine Anpassungen habe ich mich an dem Artikel&nbsp;<em>Stong SSL Security on lighttpd</em>&nbsp;von Raymii.org (<a href="https://raymii.org/s/tutorials/Strong_SSL_Security_On_lighttpd.html">Link</a>) orientiert. In diesem wird beschrieben, wie man zahlreiche Sicherheitseinstellungen korrigiert, um eine gute Bewertung zu erhalten.</p>



<p class="wp-block-paragraph">Chiffren</p>



<p class="wp-block-paragraph">Zunächst werden die Einstellungen in der Datei&nbsp;<code>10-ssl.conf</code>&nbsp;angepasst.</p>



<pre class="wp-block-code"><code># sudo vi /etc/lighttpd/conf-enabled/10-ssl.conf</code></pre>



<p class="wp-block-paragraph">In dieser Datei ergänze ich die folgenden Zeilen.</p>



<pre class="wp-block-code"><code>ssl.use-sslv2 = "disable"
ssl.use-sslv3 = "disable"
ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"</code></pre>



<p class="wp-block-paragraph">Forward Secrecy</p>



<p class="wp-block-paragraph">Wir wechseln in das folgende Verzeichnis und generieren dort stärkere Diffie-Hellman-Parameter, d. h. eine ausreichend große Primzahl (<a href="http://security.stackexchange.com/questions/38206/can-someone-explain-a-little-better-what-exactly-is-accomplished-by-generation-o">Link</a>).</p>



<pre class="wp-block-code"><code>cd /etc/ssl/certs
openssl dhparam -out dhparam.pem 4096</code></pre>



<p class="wp-block-paragraph">Dann fügen wir in der Datei&nbsp;<code>10-ssl.conf</code>&nbsp;weiterhin die folgenden Zeilen ein.</p>



<pre class="wp-block-code"><code>ssl.dh-file = "/etc/ssl/certs/dhparam.pem"
ssl.ec-curve = "secp384r1"</code></pre>



<p class="wp-block-paragraph">Bezüglich der Kurveneinstellung war ich zunächst etwas verwirrt, was es mit dieser Zeichenkette auf sich hat. Es handelt sich laut&nbsp;<em>Bundesamtes für Sicherheit in der Informationstechnik (BSI)</em>&nbsp;dabei um den&nbsp;Parameter einer&nbsp;<em>Elliptischen Kurve,</em>&nbsp;der als sicher bis zum Jahre 2021 gilt (<a href="https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03116/BSI-TR-03116-3.pdf?__blob=publicationFile">Link</a>).</p>



<p class="wp-block-paragraph">Nachdem ich die Einstellungen gespeichert und den Server neugestartet habe, erhalte ich nun folgende Bewertung.</p>



<figure data-wp-context="{&quot;imageId&quot;:&quot;6a491711ac0bd&quot;}" data-wp-interactive="core/image" data-wp-key="6a491711ac0bd" class="wp-block-image size-full wp-lightbox-container"><img decoding="async" width="808" height="415" data-wp-class--hide="state.isContentHidden" data-wp-class--show="state.isContentVisible" data-wp-init="callbacks.setButtonStyles" data-wp-on--click="actions.showLightbox" data-wp-on--load="callbacks.setButtonStyles" data-wp-on--pointerdown="actions.preloadImage" data-wp-on--pointerenter="actions.preloadImageWithDelay" data-wp-on--pointerleave="actions.cancelPreload" data-wp-on-window--resize="callbacks.setButtonStyles" src="https://maximiliankrieg.de/wp-content/uploads/2026/02/20150817-grade-a.png" alt="" class="wp-image-1273" title="A-Grad-Bewertung nach Qualys" srcset="https://maximiliankrieg.de/wp-content/uploads/2026/02/20150817-grade-a.png 808w, https://maximiliankrieg.de/wp-content/uploads/2026/02/20150817-grade-a-300x154.png 300w, https://maximiliankrieg.de/wp-content/uploads/2026/02/20150817-grade-a-768x394.png 768w" sizes="(max-width: 808px) 100vw, 808px" /><button
			class="lightbox-trigger"
			type="button"
			aria-haspopup="dialog"
			data-wp-bind--aria-label="state.thisImage.triggerButtonAriaLabel"
			data-wp-init="callbacks.initTriggerButton"
			data-wp-on--click="actions.showLightbox"
			data-wp-style--right="state.thisImage.buttonRight"
			data-wp-style--top="state.thisImage.buttonTop"
		>
			<svg xmlns="http://www.w3.org/2000/svg" width="12" height="12" fill="none" viewBox="0 0 12 12">
				<path fill="#fff" d="M2 0a2 2 0 0 0-2 2v2h1.5V2a.5.5 0 0 1 .5-.5h2V0H2Zm2 10.5H2a.5.5 0 0 1-.5-.5V8H0v2a2 2 0 0 0 2 2h2v-1.5ZM8 12v-1.5h2a.5.5 0 0 0 .5-.5V8H12v2a2 2 0 0 1-2 2H8Zm2-12a2 2 0 0 1 2 2v2h-1.5V2a.5.5 0 0 0-.5-.5H8V0h2Z" />
			</svg>
		</button><figcaption class="wp-element-caption">A-Grad-Bewertung nach Qualys</figcaption></figure>



<p class="wp-block-paragraph">Mein Server ist somit vorerst wieder auf einem aktuellen Stand bezüglich seiner&nbsp;<em>SSL</em>-Konfiguration. Eine ausführliche Beschreibung aller Maßnahmen und Angriffe kann in dem Artikel&nbsp;auf <a href="http://Raymii.org" type="link" id="Raymii.org">Raymii.org</a> nachgelesen werden.</p>



<p class="wp-block-paragraph"></p>
<p>Der Beitrag <a href="https://maximiliankrieg.de/2015/08/starke-ssl-verschluesselung-mit-lighttpd/">Starke SSL-Verschlüsselung mit Lighttpd</a> erschien zuerst auf <a href="https://maximiliankrieg.de">Maximilian Krieg</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://maximiliankrieg.de/2015/08/starke-ssl-verschluesselung-mit-lighttpd/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
	</channel>
</rss>
