Hi Steffen,
mit den folgenden Optionen erreiche ich (aktuelle Apache-Version
vorausgesetzt) ein A+ rating:
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4
Header always set Strict-Transport-Security "max-age=31536000;
includeSubDomains"
Die letzte Zeile "Header.." (HSTS) ist für das A+ rating notwendig und
setzt die apache header Erweiterung (a2enmod header) voraus. Diese
Option kannst du aber auch weglassen wenn dir ein A rating reicht.
Beste Grüße
Yannik
Am 06.03.2015 um 18:56 schrieb Steffen Auer:
> Hallo Jochen,
>
> Am 06.03.2015 um 10:10 schrieb jowa:
> > SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM
> > EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384
> > EECDH+aRSA+SHA256 EECDH+AESGCM EECDH EDH+AESGCM EDH+aRSA HIGH
> > !MEDIUM !LOW !aNULL !eNULL !LOW !RC4 !MD5 !EXP !PSK !SRP !DSS"
>
> auch das habe ich jetzt getestet und statt nur dem Apachen (was ja
> eigentlich ausreichend ist) den ganzen Server mal neu gestartet - wird
> wenigstens auch der aktuellste Kernel verwendet.
>
> Am Problem ändert sich aber nichts
> ---
> This server supports anonymous (insecure) suites (see below for
> details). Grade set to F.
> ---
> This server accepts the RC4 cipher, which is weak. Grade capped to B. ---
> The server does not support Forward Secrecy with the reference browsers.
> ---
>
> Es bleibt dabei, dass das was in der
> /etc/apache2/mods-available/ssl.conf
> bei der Variable SSLCipherSuite steht, keine Auswirkung hat. Im Grunde
> könnte ich da Wurstsalat hinschreiben (einzig der Apache würde sich
> damit nicht neu starten lassen)
>
> Mein Server ist ganz standardmäßig der Ubuntu 12.04 64bit mit
> Anpassung auf LMN.
> Alle Updates bis dato eingespielt.
> Am Apache wurde außer Einbindung des signierten Zertifikats nichts
> verändert.
> Ergo müsste ich doch dieselben Ergebnisse bekommen, wie die, die sich
> zum Thema gemeldet haben.
>
> Wer kennt sich mit Apache / SSL / Cipher aus?
>
> Wäre ja echt das Erste, bei dem man hier keine zur Lösung führende
> Hilfe findet ;-)
>
> Viele Grüße
> Steffen
>
> _______________________________________________
> linuxmuster-user mailing list
> [email protected]
> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
_______________________________________________
linuxmuster-user mailing list
[email protected]
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
