Hallo zusammen,
ok, die Konfiguration funktioniert.
Danke für die Tipps.
Jetzt habe ich nur noch ein Problem.
Ich versuche bei einigen VirtualHost SSLv3 und bei andern zusätzlich
SSLv2 zu aktivieren.
Aber das bekomme ich ich nicht hin.
Entweder gilt für alle SSLv3 oder SSLv2.
Geht das für virtuelle Host nicht getrennt?
Gruß
Richard
Am 12.07.12 23:01, schrieb Reindl Harald:
Am 12.07.2012 22:54, schrieb Martin Ebert:
Hallo Harald, liebe Liste,
Wir haben WÖCHENTLICH externe Security-Audits eines Großkunden
und da heisst es bei dieser Config "Massnahmen erforderlich oder
Websites gehen vom Netz"
Ok, wird Gründe haben.
Ich fand ja, das meine config ganz gut tut ... aber bei diesem Thema
bin ich leider Freizeitkapitän.
Ist es Dir möglich, in drei Sätzen zu schreiben, was da im Gegensatz
zu meiner conf passiert, ausgeschlossen wird?
Dabei ist (mir zumindest) völlig klar, dass nichts erzwingbar
ist: Wenn Du möchtest, lässt Du andere an Deinem Wissen
teilhaben - ich jedenfalls möchte teilhaben.
RTFM, ich weiß. Aber so - ist es halt einfacher:
Hinten anhängen, ganz schnell lernen; von anderen profitieren
Alle möglichen (meist theoretischen) SSL-Varianten die
anfällig für MITM-Attacken sind könnten vom Client gewählt
werden
Ich würde das auch nicht überbewerten, aber nachdem die
entsprechenden Einstellungen in wenigen Sekunden gemacht
sind, Firefox 1.0 und MSIE 6.0 und dann nach heutgem
Stand zm Einen nicht mehr sein kann (bis zum nächsten CVE)
und zum Anderen die Audits auf grün anstatt gelb sind
spricht nichts dagegen
https://www.ssllabs.com/ssltest/ wurde mir hier kürzlich
empfohlen und ist ein verdammt guter Test - Demzufolge
sind wir derzeit PCI-Konform wenn auch durch openssl 1.0.0
bedingt nicht volle Punktzahl
http://de.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard
---------------------------------------------------------------------
To unsubscribe, e-mail: users-de-unsubscr...@httpd.apache.org
For additional commands, e-mail: users-de-h...@httpd.apache.org
