Hallo Zusammen,
Ich wollte meinen Blog als Anlass nehmen hier Thema zu verfassen.
In meinem Blog geht es in Richtung Technik und Entwicklung.
Mein Security Ranking ist nicht das beste und ich suche deswegen nach Feedback zur Verbesserung.
Link zum Security Ranking: https://securityheaders.com/?q=aebian.org&followRedirects=on
Hier mal ein Auszug meiner Security Config:
Code
# Improve HTTPS performance with session resumption
ssl_session_timeout 24h;
ssl_session_cache shared:SSL:10m;
# SSL Protocols and Ciphers
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+CHACHA20:EECDH+AES;
# RFC-7919 recommended: https://wiki.mozilla.org/Security/Server_Side_TLS#ffdhe4096
ssl_dhparam /etc/nginx/includes/certs/ffdhe4096.pem;
ssl_ecdh_curve X25519;
# Aditional Security Headers
# ref: https://developer.mozilla.org/en-US/docs/Security/HTTP_Strict_Transport_Security
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
# ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
add_header X-Frame-Options DENY always;
# ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options
add_header X-Content-Type-Options nosniff always;
# ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection
add_header X-Xss-Protection "1; mode=block" always;
# Strict Transport Security
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
# Proxy Cache Optimization
add_header Cache-Control "no-transform";
Alles anzeigen
Bin mir beim CSP, der Referer-Policy und der Permission-Policy noch nicht ganz sicher was ich will. Die CSP Settings scheinen mir etwas schwammig. Blicke da noch nicht so durch um die richtig einzustellen.
Link zum Blog: https://aebian.org/