Projekt

Allgemein

Profil

Aktionen

Aufgabe #22

geschlossen

SSL/TLS auf hohes Niveau bringen

Von PaulRiegel vor mehr als 8 Jahren hinzugefügt. Vor mehr als 4 Jahren aktualisiert.

Status:
Abgewiesen
Priorität:
Normal
Zugewiesen an:
Kategorie:
-
Beginn:
13.05.2016
Abgabedatum:
% erledigt:

0%

Geschätzter Aufwand:
100:00 h

Beschreibung

Bei Test, etwa wie bei https://www.ssllabs.com/ssltest/ , sollten wir ein hohes Niveau anstreben. Dann lasst uns mal daran frickeln, oder?

Aktionen #1

Von PaulRiegel vor mehr als 8 Jahren aktualisiert

  • Zugewiesen an wurde auf bommel gesetzt
Aktionen #2

Von PaulRiegel vor mehr als 8 Jahren aktualisiert

Ich erhielt gerade den Hinweis (Verweis):

nice ... wenn du noch Zeit hast die Config zu optimieren, evtl. helfen

Vielleicht kann uns das helfen.

Aktionen #3

Von MatthiasJakobi vor mehr als 8 Jahren aktualisiert

Apache Konfiguration bei idelta.informatik.htw-dresden.de https://www.ssllabs.com/ssltest/analyze.html?d=idelta.informatik.htw-dresden.de

    SSLProtocol all -SSLv2 -SSLv3
    SSLHonorCipherOrder on
    # Kein robustes Forward Secrecy
    SSLCipherSuite EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:
        EECDH+ECDSA:EECDH:EDH+AESGCM:EDH:ECDH+AESGCM:ECDH+AES:
        ECDH:HIGH:MEDIUM:!RC4:!3DES:!CAMELLIA:!SEED:!aNULL:!MD5:
        !eNULL:!LOW:!EXP:!DSS:!PSK:!SRP:!DH+aRSA
    # Robustes Forward Secrecy mit selbst erstellten DH Parametern
    # ab Apache Version 2.4.7
    #SSLCipherSuite EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:
    #    EECDH+ECDSA:EECDH:EDH+AESGCM:EDH:ECDH+AESGCM:ECDH+AES:
    #    ECDH:HIGH:MEDIUM:!RC4:!3DES:!CAMELLIA:!SEED:!aNULL:!MD5:
    #    !eNULL:!LOW:!EXP:!DSS:!PSK:!SRP
    SSLCertificateFile /etc/apache2/ssl/idelta.pem
    SSLCertificateKeyFile /etc/apache2/ssl/idelta.key
    # bei selbst signierten Zertifikat
    SSLCertificateChainFile /etc/apache2/ssl/idelta.crt
    # CA Paket Zertifkat Signierung einer CA
    #SSLCertificateChainFile /etc/apache2/ssl/ca-bundle.crt

    <IfModule mod_headers.c>
        Header always set Strict-Transport-Security ``max-age=15768000; includeSubdomains; preload''
    </IfModule>

vllt erleichtert dies die Konfiguration :)

Falls ihr lets encrypt verwendet ist der link https://github.com/stura-htw-dresden/htw-crt-creator weniger relevant.

Aktionen #6

Von AxelSchiller vor mehr als 4 Jahren aktualisiert

  • Status wurde von Neu zu Abgewiesen geändert
Aktionen

Auch abrufbar als: Atom PDF