Letzte Verbesserungen bei SSL Handshake Simulation

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
pascalts
Beiträge: 37
Registriert: 08.11.2014 17:57:13

Letzte Verbesserungen bei SSL Handshake Simulation

Beitrag von pascalts » 28.01.2015 08:59:29

Hallo!

Vor kuren hatten wir hier diskutiert, wie ich meine SSL Verbindung sicher bekomme. Das hat soweit nun geklappt, allerdings schlagen laut https://www.ssllabs.com/ssltest/analyze ... o-eight.de noch diverse Handshakes fehl.

Was kann ich da tun?

Grüße!

wanne
Moderator
Beiträge: 7664
Registriert: 24.05.2010 12:39:42

Re: Letzte Verbesserungen bei SSL Handshake Simulation

Beitrag von wanne » 28.01.2015 09:34:58

Was hast du jetzt konkret für ein Problem?
rot: Moderator wanne spricht, default: User wanne spricht.

pascalts
Beiträge: 37
Registriert: 08.11.2014 17:57:13

Re: Letzte Verbesserungen bei SSL Handshake Simulation

Beitrag von pascalts » 28.01.2015 09:38:38

Mein Problem sind diese Fails:
Bild

Ich weiß ehrlich nicht, wo ich ansetzen muss, damit ich die Handshakes sauber hinbekomme.

r4pt0r
Beiträge: 1237
Registriert: 30.04.2007 13:32:44
Lizenz eigener Beiträge: MIT Lizenz

Re: Letzte Verbesserungen bei SSL Handshake Simulation

Beitrag von r4pt0r » 28.01.2015 09:52:45

pascalts hat geschrieben: Was kann ich da tun?

Mit diesen ciphern sollten es ein paar mehr Clients packen:

Code: Alles auswählen

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   ECDH 256 bits (eq. 3072 bits RSA)   FS		256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   ECDH 256 bits (eq. 3072 bits RSA)   FS		256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)   ECDH 256 bits (eq. 3072 bits RSA)   FS		256
die cipherlist in der apache ssl config dazu:

Code: Alles auswählen

SSLCipherSuite EECDH+AES256:!aNULL:!eNULL:!EXP:!LOW:!MD5:!RC4
Damit ist das rating von ssllabs sogar überall 100% :wink:

Alles was das noch nicht unterstützt ist es auch nicht mehr Wert unterstützt zu werden (Win XP Clients und ähnlicher Schrott...). Ausnahmen/Workarounds am Apache habe ich für solche Clients grundsätzlich komplett deaktiviert.
Auf Java-Unterstützung würde ich ebenfalls nur Wert legen wenn wirklich nötig.

Antworten