Apache
========

Auf mpm_event und php-fpm umstellen, um maximale performance und http2 zu ermöglichen
  https://www.lalber.org/2020/02/apache2-auf-mpm-event-und-php-fpm-umstellen/

Security settings, um maximale SSL Kompatibilität und Sicherheit zu ermöglichen - siehe required mods!

       # from https://ssl-config.mozilla.org/#server=apache&version=2.4.41&config=intermediate&openssl=1.1.1&guideline=5.6
        
        SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
        SSLCipherSuite ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA256

#       SSLCipherSuite             "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"
        #SSLCipherSuite          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
        
        SSLHonorCipherOrder      off
        SSLSessionTickets        off

        # enable HTTP/2, if available (mod_http2 is required)
        H2Direct     On
        Protocols    h2 http/1.1

        # HTTP Strict Transport Security (mod_headers is required) (63072000 seconds)
        Header always set Strict-Transport-Security "max-age=63072000"


 Letsencrypt
=============
certbot installieren und konfigurieren - fertig

    certbot --expand -d  schaelsick.de,www.schaelsick.de,mail.schaelsick.de,xonium.de,www.xonium.de,mail.xonium.de,memcpy.me,www.memcpy.me,mail.memcpy.me,swkpfingsten.de,www.swkpfingsten.de,mail.swkpfingsten.de

-> um das ganze noch stärker abzusichern, letsencrypt als CAA im DNS hinterlegen:
     CAA  0 issue "letsencrypt.org"
siehe: https://letsencrypt.org/docs/caa/