Ok, so that’s not it. What about the ciphers output?
--
Daniel Schneller
Principal Cloud Engineer
CenterDevice GmbH | Hochstraße 11
| 42697 Solingen
tel: +49 1754155711 | Deutschland
[email protected] | www.centerdevice.de
Geschäftsführung: Dr. Patrick Peschlow, Dr. Lukas Pustina,
Michael Rosbach, Handelsregister-Nr.: HRB 18655,
HR-Gericht: Bonn, USt-IdNr.: DE-815299431
> On 30. Aug. 2017, at 12:19, Julian Zielke
> <[email protected]> wrote:
>
> The output is:
>
> Built with OpenSSL version : OpenSSL 1.0.2g 1 Mar 2016
> Running on OpenSSL version : OpenSSL 1.0.2g 1 Mar 2016
> OpenSSL library supports TLS extensions : yes
> OpenSSL library supports SNI : yes
> OpenSSL library supports prefer-server-ciphers : yes
>
> Haproxy Version is 1.7.9.
>
> Julian
>
> Von: Daniel Schneller [mailto:[email protected]]
> Gesendet: Mittwoch, 30. August 2017 11:58
> An: Julian Zielke <[email protected]>
> Cc: Georg Faerber <[email protected]>; [email protected]
> <[email protected]>
> Betreff: Re: Enable SSL Forward Secrecy
>
> Also, please run haproxy -vv to get some idea about what SSL library it
> actually uses.
>
>
> --
> Daniel Schneller
> Principal Cloud Engineer
>
> CenterDevice GmbH | Hochstraße 11
> | 42697 Solingen
> tel: +49 1754155711 | Deutschland
> [email protected] <mailto:[email protected]>
> | www.centerdevice.de <http://www.centerdevice.de/>
>
> Geschäftsführung: Dr. Patrick Peschlow, Dr. Lukas Pustina,
> Michael Rosbach, Handelsregister-Nr.: HRB 18655,
> HR-Gericht: Bonn, USt-IdNr.: DE-815299431
>
>
> On 30. Aug. 2017, at 11:52, Julian Zielke <[email protected]
> <mailto:[email protected]>> wrote:
>
> Hi Georg,
>
> tried this already without effect.
>
> - Julian
>
> -----Ursprüngliche Nachricht-----
> Von: Georg Faerber [mailto:[email protected] <mailto:[email protected]>]
> Gesendet: Mittwoch, 30. August 2017 11:51
> An: [email protected] <mailto:[email protected]>
> Betreff: Re: Enable SSL Forward Secrecy
>
> On 17-08-30 09:33:23, Julian Zielke wrote:
>
> Hi,
>
> I'm struggeling with enabling SSL forward secrecy in my haproxy 1.7 setup.
>
> So far the global settings look like:
>
> tune.ssl.default-dh-param 2048 # tune shared secred to 2048bits
>
> ssl-default-bind-options force-tlsv12 no-sslv3
> ssl-default-bind-ciphers
> TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA:TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA:AES256+EECDH:AES256+EDH:TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH:!DHE
> ssl-default-server-options force-tlsv12 no-sslv3
> ssl-default-server-ciphers
> TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA:TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA:AES256+EECDH:AES256+EDH:TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH:!DHE
>
> ssl-server-verify required
> tune.ssl.cachesize 100000
> tune.ssl.lifetime 600
> tune.ssl.maxrecord 1460
>
> and in my https UI I've set:
>
> ### ssl forward secrecy tweak
> # Distinguish between secure and insecure requests
> acl secure dst_port eq 443
>
> # Mark all cookies as secure if sent over SSL
> rsprep ^Set-Cookie:\ (.*) Set-Cookie:\ \1;\ Secure if secure
>
> # Add the HSTS header with a 1 year max-age
> rspadd Strict-Transport-Security:\ max-age=31536000 if secure
>
> Still Qualys gives me an A- rating telling me:
> The server does not support Forward Secrecy with the reference browsers.
> Grade reduced to A-.
>
> Any clue how to fix this?
>
> Try to add no-tls-tickets [1].
>
> Cheers,
> Georg
>
>
> [1]
> https://cbonte.github.io/haproxy-dconv/1.7/configuration.html#no-tls-tickets
> <https://cbonte.github.io/haproxy-dconv/1.7/configuration.html#no-tls-tickets>
> Wichtiger Hinweis: Der Inhalt dieser E-Mail ist vertraulich und
> ausschließlich für den bezeichneten Adressaten bestimmt. Wenn Sie nicht der
> vorgesehene Adressat dieser E-Mail oder dessen Vertreter sein sollten, so
> beachten Sie bitte, dass jede Form der Kenntnisnahme, Veröffentlichung,
> Vervielfältigung oder Weitergabe des Inhalts dieser E-Mail unzulässig ist.
> Wir bitten Sie, sich in diesem Fall mit dem Absender der E-Mail in Verbindung
> zu setzen. Wir möchten Sie außerdem darauf hinweisen, dass die Kommunikation
> per E-Mail über das Internet unsicher ist, da für unberechtigte Dritte
> grundsätzlich die Möglichkeit der Kenntnisnahme und Manipulation besteht
>
> Important Note: The information contained in this e-mail is confidential. It
> is intended solely for the addressee. Access to this e-mail by anyone else is
> unauthorized. If you are not the intended recipient, any form of disclosure,
> reproduction, distribution or any action taken or refrained from in reliance
> on it, is prohibited and may be unlawful. Please notify the sender
> immediately. We also would like to inform you that communication via e-mail
> over the internet is insecure because third parties may have the possibility
> to access and manipulate e-mails.
>
> Wichtiger Hinweis: Der Inhalt dieser E-Mail ist vertraulich und
> ausschließlich für den bezeichneten Adressaten bestimmt. Wenn Sie nicht der
> vorgesehene Adressat dieser E-Mail oder dessen Vertreter sein sollten, so
> beachten Sie bitte, dass jede Form der Kenntnisnahme, Veröffentlichung,
> Vervielfältigung oder Weitergabe des Inhalts dieser E-Mail unzulässig ist.
> Wir bitten Sie, sich in diesem Fall mit dem Absender der E-Mail in Verbindung
> zu setzen. Wir möchten Sie außerdem darauf hinweisen, dass die Kommunikation
> per E-Mail über das Internet unsicher ist, da für unberechtigte Dritte
> grundsätzlich die Möglichkeit der Kenntnisnahme und Manipulation besteht
>
> Important Note: The information contained in this e-mail is confidential. It
> is intended solely for the addressee. Access to this e-mail by anyone else is
> unauthorized. If you are not the intended recipient, any form of disclosure,
> reproduction, distribution or any action taken or refrained from in reliance
> on it, is prohibited and may be unlawful. Please notify the sender
> immediately. We also would like to inform you that communication via e-mail
> over the internet is insecure because third parties may have the possibility
> to access and manipulate e-mails.
>
