Zum Inhalt wechseln 
So kannst du die TLS Versionen einstellen
plesk bin server_pref -u -ssl-protocols 'TLSv1.2 TLSv1.3' Warum braucht man aktuelle TLS Versionen und nicht einfach alle?
Aktuelle Browser unterstützen bereits TLS 1.2 und 1.3. Es gibt aber auch noch viele alte Betriebssysteme oder Smartphones, die nicht mit TLS1.2 oder neuer klarkommen. Windows 7 beispielsweise kann kein TLS 1.2 ohne direkten Eingriff in das Betriebssystem. Dadurch können Verbindungen zu Servern, die nur TLS1.2 und neuer einsetzen nicht mehr aufgebaut werden auch wenn die Software wie Outlook das prinzipiell kann.
Der Apache Webserver unterstützt TLS1.3 allerdings erst seit der Version 2.4.37 welches erst ab Ubuntu 20, Debian 10 und Almalinux 8 zur Verfügung steht. Mit älteren Betriebssystemen ist das nicht so ohne weiteres möglich. Abhilfe bringt bei älteren Betriebssystemen nur ein Wechsel auf nginx als Proxy oder Litespeed als Apache Ersatz. Letzterer unterstützt TLS1.3 standardmäßig.
Gesetzliche Anforderungen
TLS sollte man grundsätzlich in der Version 1.3 anbieten und 1.2 nur verwenden, wenn es unbedingt erforderlich ist.
Das BSI hat einen Mindeststandard (MST) definiert welcher sich an die IT Verantwortlichen richten. So ist derzeit definiert, dass TLS1.2 oder neuer eingesetzt werden muss. Link zum BSI
Wer noch TLS kleiner als 1.2 verwendet handelt also Fahrlässig. Den Server sollte man nicht unsicher machen, weil es ein paar Kunden gibt die noch mit vergammelten Systemen arbeiten.
Passende Chiffren aktivieren
Um die für die Versionen geeigneten Chiffrensammlungen (cipher suites) zu aktivieren empfiehlt der Hersteller Plesk folgende Ciphers für 1.2 und 1.3.
Führe bitte im Anschluss folgenden Befehl aus, um sie zu aktivieren:
plesk bin server_pref -u -ssl-ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256' Login mit SSH und Wechsel zum root Benutzer. Führe dann einen Befehl aus, um die passenden TLS Versionen zu aktivieren.
Im Plesk kannst du unter SSL/TLS Zertifikate bei der jeweiligen Domain prüfen, welche TLS Versionen bzw. cipher suites verwendet werden. Dort erhälst du auch Sicherheitseinschätzung. Ein A Rating sollte immer das mindeste sein. A+ ist unter Verwendung von HSTS möglich.
Hier findest du eine Anleitung wie das funktioniert. Plesk SSL/TLS Zertifikate
