Code: Alles auswählen
$SERVER["socket"] == ":443" {
ssl.engine = "enable"
ssl.pemfile = "/etc/lighttpd/ssl/example.pem"
# harden
ssl.use-sslv2 = "disable"
ssl.use-sslv3 = "disable"
ssl.honor-cipher-order = "enable"
ssl.cipher-list = "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384"
# HSTS
$HTTP["scheme"] == "https" {
setenv.add-response-header = ( "Strict-Transport-Security" => "max-age=63072000; includeSubdomains; preload")
}
ssl.dh-file = "/etc/ssl/certs/dhparam.pem"
ssl.ec-curve = "secp384r1"
$HTTP["host"] == "cloud.example.de" {
ssl.engine = "enable"
ssl.pemfile = "/etc/letsencrypt/live/cloud.example.de/ssl.pem"
ssl.ca-file = "/etc/letsencrypt/live/cloud.example.de/chain.pem"
}
}
In der Sektion $HTTP["host"] versuche ich, den Wert für die pem-File zu überschreiben, das scheint aber nicht zu funkitonieren. SSL Labs moniert hier, dass es eine Mismatch der SNI gibt, als "common name" gibt SSL Lab "example.de" an, statt "cloud.example.de".
Ich habe versucht, die ganze SSL Sektion in der Host-Sektion zu machen, dann startet lighttpd aber nicht.
Jemand einen Tipp, wie ich das sauber hinbekomme?