Ein NAS von QNAP hat meist wenig zu tun und so kann es neben Datei-Server noch weitere Aufgaben übernehmen.

Bei mir ist u.a. der Webserver.

Den möchte ich via DDNS von außen sicher erreichen können.

So ist das Ziel einen Webserver mit guten SSL-Eigenschaften zu betreiben.

Wie man einen vhost einrichtet ist im Netz sehr gut dokumentiert. Ich möchte hier eher auf die SSL-Eigenheiten eingehen.

Testen könnt Ihr Euren Server z.B. unter  https://www.ssllabs.com/ssltest/index.html

Die Bewertung (A-F) finde ich ok, doch die Details sind interessanter.

Grundvorraussetzung für einen sicheren Server sind ein aktuellen openSSL.
Nachdem QNAP die letzte Zeit endlich Updates für openSSL bereitstellt, ist es besser geworden.

Was ich manuell getan habe:

SSL3 deaktiviert - Damit ist man sicher vor Poodle.

Dazu die Datei "/etc/config/apache/extra/httpd-ssl-vhosts-user.conf" aufgerufen und folgende Zeile eingefügt:

SSLCipherSuite AES128+EECDH:AES128+EDH

Die vorhandene Zeile habe ich auskommentiert.

Durch die Zeile wird das alte SSL2 auch gleich mit abgeschaltet.

Die Änderungen werden erst nach neuladen aktiv. Das ist ein bisschen tricky. Habe keine elegantere Methode gefunden, als vhost ab- und wieder anzuschalten.

Nun kommt das Achtung!

Wenn wir Euren vhost via web UI bearbeitet, z.B. einen Pfad ändert und abspeichert, dann sind Eure Änderungen wieder weg und Ihr müsst Sie von Hand nachtragen. Das ist nervig.

Quellen:

• http://forum.qnap.com/viewtopic.php?t=92691
• https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html