Alles anzeigenDu hast recht, Danke für die Antwort. Solche DNS-Einträge biete ich natürich nich an.
Jetzt habe ich allerdings noch eine echte Checker-Frage (habe bereits stundenlang gegoogelt):
Mir ist es bislang nicht möglich bei ssllabs.com ein A+-Rating zu erhalten,
wenn ich bei nginx
ssl_prefer_server_ciphers Off; einstelle.
Problem ist, dass wgn. ein paar Microcontroller,
folgende Ciphers auch möglich sein sollten: AES128-SHA256 oder AES256-SHA256
Hoffe, das kann mir jemand beantworten, schon mal vielen Dank!
Gruß
Kenny
Also die A+ bekomme ich entspannt, egal ob mit ssl_prefer_server_ciphers on oder off.
Folgende Config mit 384bit ECC Zertifikaten von Lets Encrypt, OCSP Caching und 4096bit dhparams:
Code
# standard SSL config
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256;
ssl_dhparam /xxx/dhparams.pem;
ssl_ecdh_curve secp521r1:secp384r1:prime256v1;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;
resolver [fdef::cafe:beef:affe] valid=300s;
Alles anzeigen