Nachdem ich nun alle Keys tauschen musste (heartbleed bug), dachte ich mir es ist Zeit auch bei den aktuellen Debian 7 und Ubuntu 12.04 LTS für PFS, also ECC keys and ECDH ciphers. Der Weg dorthin ist - wenn man ein wenig Übung mit kompilieren und apt hat, relativ einfach:
1. Vorbereitungen - Quellcode und Tools herunterladen
# apt-get install build-essential # apt-get build-dep apache2 $ apt-get source apache2 $ wget https://github.com/apache/httpd/commit/058a25cdcb42572867d613ec13c68a350b9d57b6.patch
2. den Patch einfügen (wenn patch nach mod_ssl.xml fragt, doppelt mit Enter überspringen bestätigen)
$ cd apache2-2.2.22 $ patch -p1 < ../058a25cdcb42572867d613ec13c68a350b9d57b6.patch $ dpkg-source --commit
3. in der debian/changelog-Datei eventuell die Version ändern und eine Beschreibung/Changelog eingeben
4. Kompilieren und installieren
$ dpkg-buildpackage; cd .. Bei mir benötigte Debian-Pakete - bitte selbst überprüfen, ob man andere braucht!!: # dpkg -i apache2_2.2.22-13+deb7u2_amd64.deb apache2-mpm-prefork_2.2.22-13+deb7u2_amd64.deb apache2-utils_2.2.22-13+deb7u2_amd64.deb apache2.2-bin_2.2.22-13+deb7u2_amd64.deb apache2.2-common_2.2.22-13+deb7u2_amd64.deb Oder bei mir für Ubuntu benötigte Pakete: # dpkg -i apache2.2-bin_2.2.22-1ubuntu1.6_amd64.deb apache2-mpm-prefork_2.2.22-1ubuntu1.6_amd64.deb apache2-utils_2.2.22-1ubuntu1.6_amd64.deb apache2.2-common_2.2.22-1ubuntu1.6_amd64.deb
5. Nun noch die SSL-Konfiguration, zB laut hynek.me, anpassen und Apache nochmal neu starten, fertig.
Quellen: Debian bugreport