Dies ist die archivierte Version des Blogs vom 05.01.2017. Aktuelle Beiträge findest du unter thomas-leister.de
 

Dieser Blogpost zeigt euch, wie ihr euer SSL härtet und gleichzeitig Kompatibilität zu älterer Software wahrt: Hardening Your Web Server’s SSL Ciphers
Auf diese Cipherkette setze ich schon ein paar Wochen. Anleitungen zum Einrichten mit Apache und Nginx sind mit dabei.


Post published on 11. April 2014 | Last updated on 11. April 2014
Tags:                 

Diesen Blog unterstützen

Wenn Dir der Beitrag gefallen hat, freue ich mich über einen kleinen Obolus :-) Bitcoin QR Code

PayPal-Seite: https://www.paypal.me/ThomasLeister
Meine Bitcoin-Adresse: 15z8 QkNi dHsx q9WW d8nx W9XU hsdf Qe5B 4s

Siehe auch: Unterstützung

Informationen zum Autor

Thomas Leister

Geb. 1995, Kurzhaar-Metaller, Geek und Blogger. Nutzt seit Anfang 2013 ausschließlich Linux auf Desktop und Servern. Student der Automobilinformatik an der Hochschule für angewandte Wissenschaften in Landshut.

4 thoughts on “Für alle, die ihr SSL am Webserver noch härten wollen …

  • Auf https://bettercrypto.org/ ist momentan die Beta Version des Papers ‚Applied Crypto Hardening‘ verfuegbar, ich moechte das ausdruecklich gegenueber einzelnen Blogposts empfehlen! Die Cipherstrings und fertigen Configurations sind von erfahrenen Sysadmins und Crypto-Experten verfasst und auditiert worden. Das Ziel sind Crypto-Einstellungen, die eine ausgewogene Mischung von Kompabilitaet und Sicherheit bieten.

    Falls du Fragen dazu hast, kannst du dich auch an mich wenden, mit ein paar Teilen kenne ich mich aus. Ansonsten: Mailingliste und Jabber-Chat

    • @sebix:

      Danke sowas hab ich schon lange gesucht.

      Leider hat der dort verwendete String den Pferdefuß das der IE8 unter XP nicht unterstützt wird weil 3DES aus der Cipherliste gestrichen wird.

      Ich hab jetzt !3DES entfernt und DES-CBC3-SHA ganz hinten eingefügt. Jetzt geht auch der IE8 unter XP wenn auch ohne Forward Secrecy. Würde ich SSL3 zulassen würden sogar noch der IE6 unterstützt werden aber ich habe mit dagegen entschieden.

      • Man könnte es auch so sehen:
        Leuten, die mit XP und IE6 unterwegs sind, ist die Sicherheit eh egal ;)

        LG Thomas

      • Es gibt auch seit 8. April keine Sicherheitsupdates fuer Windows XP / IE 8. Es ist auch weithin bekannt, dass 3DES nicht besonders schwer zu knacken ist.

        @Thomas Leister: Aber es befasst sich auch nicht jeder damit, sein eigenes privates System mit aktuellen Crypto-Libs zu versorgen. Die Pflicht liegt eigentlich beim Vendor, also meistens Microsoft. Aber werden diejenigen Druck auf MS ausueben koennen? Eher nicht. Da sehe ich uns Sysadmins/Betreuer/whatever mehr in der Pflicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.