HowTo: Apache SSL and perfect forward secrecy

Man liesst die Tage ueberall von perfect forward secrecy. Das bedeutet, dass man bei verschluesselten Verbindungen erst sichere Protokolle anbietet und gleichzeitig unsichere verbietet. Mit den folgenden Einstellungen kann man in Apache einen SSL vHost selber PFS like absichern und auch BEAST (Browser Exploit Against SSL/TLS) Attacken abschwaechen:

SSLProtocol all -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite EECDH+AES:EDH+AES:-SHA1:EECDH+RC4:EDH+RC4:RC4-SHA:EECDH+AES256:EDH+AES256:AES256-SHA:!aNULL:!eNULL:!EXP:!LOW:!MD5

Um die SSL Konfiguration des vHosts zu testen ist noch der SSL Server Test von Qualys SSL Labs zu empfehlen.

(via)

prego

/me... prego!

3 Gedanken zu „HowTo: Apache SSL and perfect forward secrecy“

  1. Damit bekomme ich bei oben genanntem Online-Test aber „nur“ ein A- mit folgender Beründung:

    RC4 cipher is used with TLS 1.1 or newer protocols, even though stronger ciphers are available. Grade reduced to A-. MORE INFO »
    The server does not support Forward Secrecy with the reference browsers. Grade reduced to A-.

  2. Ist jetzt sogar noch schlimmer.
    Debian 8 Standard ist
    SSLCipherSuite EECDH+AES:EDH+AES:-SHA1:EECDH+RC4:EDH+RC4:RC4-SHA:EECDH+AES256:EDH+AES256:AES256-SHA:!aNULL:!eNULL:!EXP:!LOW:!MD5

    was ein A- gibt
    Mit den Optionen oben gibt es B+

  3. @zeeman: ich weiß nicht wie oft ich schon die cipher suite geändert habe seit dem Beitrag, aber danke für den aktuellen Hinweis :-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.