RS 4000 G9 - Ioscope benchmark results

  • Also die A+ bekomme ich entspannt, egal ob mit ssl_prefer_server_ciphers on oder off.


    Folgende Config mit 384bit ECC Zertifikaten von Lets Encrypt, OCSP Caching und 4096bit dhparams:

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Hi,


    also bei mir schwankt es, wenn ich an den Ciphers AES256-SHA256 hinten dran hänge, zwischen A+ und B.

    Wenn ich sowas wie ECDHE-AES256-SHA256 bekomme ich mit dem Microcontroller keinen Handshake hin.


    Bei mir:

    1. ssl_session_timeout 30m;
    2. ssl_session_cache shared:SSL:10m;
    3. ssl_session_tickets on;
    4. ssl_ecdh_curve <- habe ich nicht drin, bringt das was? Gibts Leistungseinbußen?

    A+ bekomme ich auch bei prefer_server_ciphers, bin aber der Meinung, dass es je nach Client-Leistung entschieden werden sollte,

    welcher gewählt wird. (Mozilla und Letsencryt sind übrigens der selben Meinung).


    Gruß

    Kenny

  • Was für Certs benutzt du? Das macht auch nen Unterschied.


    Bzgl. ssl_ecdh_curve --> https://wiki.openssl.org/index…ptic_Curve_Diffie_Hellman

    Das macht eigentlich eher nen Unterschied bzgl. der Sicherheit...


    Hast du sowas wie CAA, HSTS und Co. eingerichtet?

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Letsencrypt 2048bit


    CAA gerade gemacht ;)

    HSTS mache ich noch, bzw. Header wird schon gesendet.. eine Frage hätte ich dazu noch, wenn man sich da in die Liste einträgt:

    Ich kann doch dennoch unverschlüsselte Seiten anbieten oder verstößt man dann gegen irgendwelche Regeln?

    Mir ist schon klar, dass es schwierig wird, diese Seiten über den Browser zu besuchen, eher für Apps o. µC...


    Aber ich glaube ohne passenden Cipher bekomme ich keine besseren Werte...

    Außer ich deaktiviere die Schwachen, aber AES256-SHA256 muss noch funktionieren...


    Was kann ich da tun?


    Gruß

    Kenny

  • HSTS bietet optional die Preload Liste. Das ist eine Liste, die hardcoded in Browsern steckt und HTTPS grundsätzlich für eine Domain (m.W. inkl. Subdomains) erzwingt. Solange man da draufsteht, geht HTTP ohne händisches Eingreifen am Client (mehr oder minder pfuschen) garnicht mehr.

    Das steht eigentlich auch alles unüberlesbar hier.


    Du verstößt mit HTTP eigentlich nicht gegen Regeln - es geht halt einfach nicht. Browser sagt нет. wget mittlerweile auch. Da haste dann gelitten.

    Deswegen distanziere ich mich auch davon, weil ich unter meiner Domain im Heimnetz sehr wohl noch (ohne Bedenken) HTTP einsetze und HTTPS auch bei Webanwendungen in manchen Fällen für nicht erforderlich halte (Stichwort Spiegelserver).



    Was deine Problematik betrifft - wie wärs denn mal mit nem vernünftigen Zertifikat?

    2048bit RSA ist gefühlt das letzte was ich nehmen würde. Wenn du zu viel Rechenkapazität hast, nimmst du RSA 4096bit oder wenn du es halt ordentlich und eher ressourcenschonend machen willst, nimmst du 384bit ECC. Da du mit Microcontrollern arbeitest wird zweiteres ganz bestimmt eher das Mittel der Wahl sein - ist auch moderner.


    Und wie gesagt - OCSP Must Staple und OCSP Caching machen auch Sinn.

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Habe ja geschrieben, mit Browser ist schwierig. Mir reichts eigtl, wenn es mit dem µC geht.

    2048 RSA ist halt standard...

    Ich habe mich damit noch nicht soviel beschäftigt, 384bit ECC klingt intressant...

    Aber funktioniert noch nicht komplett über Letsencryt, sondern selbst erstellen und signieren lassen, oder?


    Nochmal zu meinen eigtl. Problem, mir ist gerade ne zündete Idee gekommen...

    Es wäre doch möglich über einen anderen Server-Block + anderen Port, die erlaubten Ciphers umzustellen, richtig?


    Gruß

    Kenny

  • Aber funktioniert noch nicht komplett über Letsencryt, sondern selbst erstellen und signieren lassen, oder?

    Mit acme.sh geht das schon... Certbot ist in dem Falle halt nicht so wirklich das Mittel der Wahl.



    Es wäre doch möglich über einen anderen Server-Block + anderen Port, die erlaubten Ciphers umzustellen, richtig?

    Theoretisch ja, wäre aber so gesehen pfusch - ich kann dir nur raten und dir empfehlen: Mach es bitte gleich ordentlich. Aus der Erfahrung raus wirst du dich später ärgern, weil du Arbeit und Zeit in Pfusch investiert hast, den du irgendwann wieder glatt ziehen musst. Und dann ärgerst du dich. Das musste ich auch schon lernen.

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • So sieht's aus. Man braucht das A+ Rating nicht. Auch die weniger sicheren Ciphers sind noch nie geknackt worden. Das ist alles theoretischer Natur. Für ein A+ Rating musst du so streng sein, dass mit vielen Clients keine Verbindung mehr zustande kommt. Zum Rumprobieren ganz nett, aber praktisch hast du nichts davon, außer dass du dir ein schönes Badge ansehen kannst. Ehrlich, pfeif' auf's Rating und schau dir die Details an: Gibt es Warnungen zu Lücken, die nicht geschlossen sind, und handeln auch alle Browser die für sie bestmögliche Suite aus?