Ich hab gerade die Verbindungs-Sicherheit eines Webservers optimiert. Die meisten Einstellungen waren noch im unspezifischen 0-8-15 Paketauslieferungsdefault, also war es nicht schwer, da was zu verbessern.
In dem Zusammenhang einfach ein paar nützliche Links zu Seiten, die aktuell gehalten werden und viele nützliche Hintergrundinfos mitbringen:
https://cipherli.st/
Eine (von mehreren) Anlaufstellen für Empfehlungen, wie die Einstellungen zum Thema SSL/TLS/Ciphers optimiert werden sollten. Gerade die Ciphers (Schlüsselaustausch, Authentifizierung, Verschlüsselung, Hashfunktion) sind ein Thema für sich, weil oft zwischen größtmöglicher Sicherheit und zu unterstützenden Devices und Browsern abgewogen werden muss.
Hier eine andere Seite mit TLS-Background, aber eher für lange verregnete Sonntagnachmittage.
https://hstspreload.org/
Die HSTS-Headerangabe in der Server-Response informiert den Client, zukünftige Requests sofort und nur via https aufzubauen. Damit bereits der erste Request sicher erfolgt, ist eine Aufnahme in Browserlisten erwägenswert.
This form is used to submit domains for inclusion in Chrome’s HTTP Strict Transport Security (HSTS) preload list. This is a list of sites that are hardcoded into Chrome as being HTTPS only.
(Weitere Hintergrundinfos zu HSTS vom Wiki Peter)
https://letsencrypt.org/docs/caa/
Vielen noch unbekannt, aber schnell im DNS-Zonefile hinzugefügt: der CAA-Record.
CAA is a type of DNS record that allows site owners to specify which Certificate Authorities (CAs) are allowed to issue certificates containing their domain names.
https://www.ssllabs.com/ssltest/
Die Transportverschlüsselung umfangreich testen. Der Service gehört zu den Besten. Wenn bestimmte (ältere) Clients unterstützt werden müssen, ist ein A+ Ranking nicht immer erstrebenswert; aber wenigstens sollten die gängigen gefundenen Sicherheitslücken der letzten Jahre nicht in der Prüfliste auftauchen.