Forward Secrecy aktivieren

    Quote from andy-lu

    Die Ciipher die auf der Seite aufgeführt sind aktivieren zwar Forward Secrecy führen aber dazu dass Chrome meldet die krypthographie wäre veraltet?

    Ich würde ja darauf tippen, dass deine Zertifikate mit einem SHA-1-Hash signiert sind. Mach mal den Test auf ssllabs.com. Das sagt viel mehr aus, als die mittlerweile doch sehr kastrierte Angabe von Chrome.


    Edit: Aus Datenschutz- und Performancegründen habe ich auch noch OCSP Stapling aktiviert. Hierzu habe ich unter /etc/apache2/conf-available eine Datei mit folgendem Inhalt erstellt (das lässt sich auch in die ssl.conf packen)


    Code
    1. SSLUseStapling on
    2. SSLStaplingCache "shmcb:/var/run/ocsp(128000)"
    3. SSLStaplingResponderTimeout 5
    4. SSLStaplingErrorCacheTimeout 120
    5. SSLStaplingReturnResponderErrors off
    6. SSLStaplingFakeTryLater off

    Laut ssllabs habe ich A also schon ein guter Wert :)

    Wenn du magst, schau ich mir das kurz an. Den Link zur Seite kannst du mir auch per PN schicken.


    edit: Ich habe die URL per PN erhalten.


    Es handelt sich (noch) um kein großes Problem, da es sich um keine Warnung handelt (wie z. B. die Warnung vor noch länger gültigen Zertifikaten die per SHA-1 unterschrieben sind). Es geht nur darum, dass die Chrome-Entwickler den CBC-Modus bei TLS-Verbindungen (aus gutem Grund) nicht mögen (link).


    Lösen lässt sich das Ganze, indem du deine Cipher order änderst und alles mit GCM priorisierst.


    Außerdem gibt es vereinzelt Mixed-Content-Warnings, da der Inhalt aber wohl teilweise von externen skripten kommt, kannst du da wohl wenig dagegeben tun.

    Edited 2 times, last by f4Nm1Z9k2P ().

    Quote from f4Nm1Z9k2P

    Lösen lässt sich das Ganze, indem du deine Cipher order änderst und alles mit GCM priorisierst.

    Sry hier bin ich etwas überfragt wie mache ich das ? :)


    Aktuelle Chipser:

    Code
    1. SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"


    Quote from f4Nm1Z9k2P

    Außerdem gibt es vereinzelt Mixed-Content-Warnings, da der Inhalt aber wohl teilweise von externen skripten kommt, kannst du da wohl wenig dagegeben tun.

    Mixed-Content Warnings habe ich hier keine? Welche Seite genau hast eine Error gekriegt? Mixed-Content gibs nur beim Radio (radio.php?genre=hiphop)

    Die cipher order änderst du über die direktive SSLCipherSuite. Ist das die, die du vorhin gepostet hast?


    Dann habe ich wohl zufällig genau auf den Link geklickt, der zu Mixed-Content führt. Siebter Sinn für sowas ;-P

    Ja hast wohl echt nen 7ten Sinn dafür :)


    Der Chipser ist aktuell genau dieser:
    SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"

    Bist du dir sicher, dass du den apache nach dem Ändern neu gestartet hast? Die direktive aktiviert nämlich RC4 und das gibt bei ssllabs aus gutem Grund nur noch die Note B.


    Mir gefällt dein String auch nicht, da Camellia und Seed aktiviert werden, was die Seite kein bißchen kompatibler macht, aber zusätzliche Algorithmen hinzufügt, was die Sicherheit nur verringern kann. Warum die Cipher order nicht passt verstehe ich grad auch nicht ganz. Vielleicht liegt es daran, dass du Leerzeichen statt Doppelpunkten nutzt.