Hallo,
ich habe eine Frage - denkt Ihr dass in naher Zukunft ein Security Patch für den Apache kommen wird,
der entweder den DH von 1024 auf 2048 oder höher setzt bzw besser noch den Parameter "SSLOpenSSLConfCmd"
zulässt ?
Wheezy 'logjam' vulnerability im Apache 2.2.22
Re: Wheezy 'logjam' vulnerability im Apache 2.2.22
Während des Wartens kannst Du Dich ja an
https://flo.sh/debian-wheezy-apache2-logjam-fix/
versuchen, wenn Du vom selber kompilieren nicht zurückschreckst
https://flo.sh/debian-wheezy-apache2-logjam-fix/
versuchen, wenn Du vom selber kompilieren nicht zurückschreckst
Re: Wheezy 'logjam' vulnerability im Apache 2.2.22
SSLOpenSSLConfCmd Directive
Description: Configure OpenSSL parameters through its SSL_CONF API
Syntax: SSLOpenSSLConfCmd command-name command-value
Context: server config, virtual host
Status: Extension
Module: mod_ssl
Compatibility: Available in httpd 2.4.8 and later, if using OpenSSL 1.0.2 or later
Code: Alles auswählen
https://packages.debian.org/apache2
Würde das nicht helfen?
Code: Alles auswählen
# openssl ciphers -v cipherlist 'HIGH:!RC4:!MD5:!aNULL:!EDH:!SHA:!kECDH'
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA384
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA384
AES256-GCM-SHA384 TLSv1.2 Kx=RSA Au=RSA Enc=AESGCM(256) Mac=AEAD
AES256-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA256
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD
ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(128) Mac=SHA256
ECDHE-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(128) Mac=SHA256
AES128-GCM-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AESGCM(128) Mac=AEAD
AES128-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA256
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: Wheezy 'logjam' vulnerability im Apache 2.2.22
Hallo,
das habe ich bis jetzt auch drin, allerdings ist mit dem Ausschluß einer DH Verschlüsslung kein
Forward Secrecy möglich, da dies ja einen DH braucht
Also entweder das eine oder das andere ... Beides ist erst möglich, wenn der Debian Apache
einen DH mit min 2048 Bit unterstützt.
das habe ich bis jetzt auch drin, allerdings ist mit dem Ausschluß einer DH Verschlüsslung kein
Forward Secrecy möglich, da dies ja einen DH braucht
Also entweder das eine oder das andere ... Beides ist erst möglich, wenn der Debian Apache
einen DH mit min 2048 Bit unterstützt.
Re: Wheezy 'logjam' vulnerability im Apache 2.2.22
Nur TLS 1.2 mit ECDHE erlauben - damit hat man auch alle Clients in PFS gezwungen, selbst die aussätzigen die per default die schwächsten ciphern und non-PFS wählen (ältere Android, IE bis 10 und java)
Re: Wheezy 'logjam' vulnerability im Apache 2.2.22
OK, so kann man es auch machen
Das ist so nach dem Motto - Wenn ich das Netzwerkkabel ziehe ist es am sichersten
Aber mal ehrlich, ich denke schon dass dies ein Sicherheitsrelevantes Thema ist und in einen Security Patch oder so sollte ?
Oder wie seht ihr das ?
Das ist so nach dem Motto - Wenn ich das Netzwerkkabel ziehe ist es am sichersten
Aber mal ehrlich, ich denke schon dass dies ein Sicherheitsrelevantes Thema ist und in einen Security Patch oder so sollte ?
Oder wie seht ihr das ?
Re: Wheezy 'logjam' vulnerability im Apache 2.2.22
Wieso Kabel ziehen?
Damit werden alle aktuellen gängigen Browser unterstützt. Warum soll man 90% der User gefährden nur weil 10% zu blöd sind endlich ihr WinXP zu entsorgen?
Willst du auch noch SSL 1.0 und RC4 erlauben weil ja vll noch jemand mit Win 98 und IE5 daherkommen könnte? Dann kann man auch direkt auf Übertragungssicherheit verzichten, dann haben auch die User mit irgendwelchen integrierten Browsern in ihrer Java 6 Applikation keine Probleme mehr... (und downgraden lässt sich auch nix )
Ich sehe das eher so: Als betreiber von Internet-/Netzwerkdiensten muss man die technisch unversierten User (und leider auch etliche Softwareentwickler/-firmen) zu besserer Sicherheit zwingen. Kein User ändert etwas "wenns doch auch so funktioniert".
Es liegt in unserer Verantwortung dass sich neuere und sichere Techniken schnellstmöglich durchsetzen. Legacy-unterstützung sollte da allerniedrigste Priorität haben!
Damit werden alle aktuellen gängigen Browser unterstützt. Warum soll man 90% der User gefährden nur weil 10% zu blöd sind endlich ihr WinXP zu entsorgen?
Willst du auch noch SSL 1.0 und RC4 erlauben weil ja vll noch jemand mit Win 98 und IE5 daherkommen könnte? Dann kann man auch direkt auf Übertragungssicherheit verzichten, dann haben auch die User mit irgendwelchen integrierten Browsern in ihrer Java 6 Applikation keine Probleme mehr... (und downgraden lässt sich auch nix
)Ich sehe das eher so: Als betreiber von Internet-/Netzwerkdiensten muss man die technisch unversierten User (und leider auch etliche Softwareentwickler/-firmen) zu besserer Sicherheit zwingen. Kein User ändert etwas "wenns doch auch so funktioniert".
Es liegt in unserer Verantwortung dass sich neuere und sichere Techniken schnellstmöglich durchsetzen. Legacy-unterstützung sollte da allerniedrigste Priorität haben!
Re: Wheezy 'logjam' vulnerability im Apache 2.2.22
Gut macht auch sinn ...
Was würdet Ihr dann bei SSLCipherSuite alles erlauben ?
Aktuell habe ich
Was würdet Ihr dann bei SSLCipherSuite alles erlauben ?
Aktuell habe ich
Code: Alles auswählen
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA256:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-AES256-SHA256:!DHE-RSA-CAMELLIA128-SHA:!DHE-RSA-CAMELLIA256-SHARe: Wheezy 'logjam' vulnerability im Apache 2.2.22
Unübersichtliche Darstellung.
Mach doch mal und schau, ob es Dir gefällt.
Mach doch mal
Code: Alles auswählen
openssl ciphers -v cipherlist 'dein_template'
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: Wheezy 'logjam' vulnerability im Apache 2.2.22
Code: Alles auswählen
SSLCipherSuite EECDH+AES256:!aNULL:!eNULL:!EXP:!LOW:!MD5:!RC4
SSLProtocol TLSv1.2
SSLCompression off