Man liesst die Tage ueberall von perfect forward secrecy. Das bedeutet, dass man bei verschluesselten Verbindungen erst sichere Protokolle anbietet und gleichzeitig unsichere verbietet. Mit den folgenden Einstellungen kann man in Apache einen SSL vHost selber PFS like absichern und auch BEAST (Browser Exploit Against SSL/TLS) Attacken abschwaechen:
SSLProtocol all -SSLv2 SSLHonorCipherOrder On SSLCipherSuite EECDH+AES:EDH+AES:-SHA1:EECDH+RC4:EDH+RC4:RC4-SHA:EECDH+AES256:EDH+AES256:AES256-SHA:!aNULL:!eNULL:!EXP:!LOW:!MD5 |
Um die SSL Konfiguration des vHosts zu testen ist noch der SSL Server Test von Qualys SSL Labs zu empfehlen.
(via)
Damit bekomme ich bei oben genanntem Online-Test aber „nur“ ein A- mit folgender Beründung:
RC4 cipher is used with TLS 1.1 or newer protocols, even though stronger ciphers are available. Grade reduced to A-. MORE INFO »
The server does not support Forward Secrecy with the reference browsers. Grade reduced to A-.
Ist jetzt sogar noch schlimmer.
Debian 8 Standard ist
SSLCipherSuite EECDH+AES:EDH+AES:-SHA1:EECDH+RC4:EDH+RC4:RC4-SHA:EECDH+AES256:EDH+AES256:AES256-SHA:!aNULL:!eNULL:!EXP:!LOW:!MD5
was ein A- gibt
Mit den Optionen oben gibt es B+
@zeeman: ich weiß nicht wie oft ich schon die cipher suite geändert habe seit dem Beitrag, aber danke für den aktuellen Hinweis :-)