Ich hoffe, dass OpenSSL 1.1.1 bald offiziell erscheint und dann schnell den Weg nach Buster findet. Wäre schade, wenn es erst in Bullseye enthalten wäre.
Ich freu mich da auch wahnsinnig drauf !
Ich hoffe, dass OpenSSL 1.1.1 bald offiziell erscheint und dann schnell den Weg nach Buster findet. Wäre schade, wenn es erst in Bullseye enthalten wäre.
Ich freu mich da auch wahnsinnig drauf !
Da TLS1.3 aktuell Geschwindigkeitsvorteile bietet, wird das schon Verbreitung finden. Sind ja alle Performancegeil heutzutage
woher kommen diese Geschwindigkeitsvorteile?
Ich glaube, das lasse ich vorerst so!
Bildschirmfoto_2018-07-23_20-41-37.png Bildschirmfoto_2018-07-23_20-43-31.png
Das System ist nicht für die Öffentlichkeit bestimmt, da kann man sich das ruhig einmal erlauben…
Wetten, dass dort nur sehr wenig Script-Kiddies mit HTTP-Scannern auf Port 443 auftauchen werden?
Ich glaube, das lasse ich vorerst so!
Warum nur vorerst? Mein NGINX bleibt dauerhaft so konfiguriert.[Blockierte Grafik: https://i.imgur.com/tKTARZR.png]
Ich fahre Mozilla Best Practice und biete noch zwei CBC Verfahren an.
Warum nur vorerst?
Unglückliche Wortwahl meinerseits. Bleibt natürlich so, solange ich mit keinem benötigten OS bzw. Programm Probleme bekomme.
SSLLabs 100% FTW
Wetten, dass dort nur sehr wenig Script-Kiddies mit HTTP-Scannern auf Port 443 auftauchen werden?
dafür gleich die Mafia
bei dem Teil mit der Handshake Simulation, wieviel ist da rot?
Mein Cipher-String auf dem experimentellen Server:
'HIGH:!MEDIUM:!WEAK:!AES128-SHA256:!AES256-SHA256:!AES128-SHA384:!AES256-SHA384:!SSLv3:!SHA1:!PSK:!LOW:!eNULL:!aNULL:!EXP:!aDH:!AES256-CCM8:!AES256-CCM:!AESCCM:!AESCCM8:!AES128-GCM-SHA256:!ARIA128-GCM-SHA256:!CAMELLIA128:!AES256-GCM-SHA384:!CAMELLIA256-SHA256:!ARIA256-GCM-SHA384:@STRENGTH'
Bei ssllabs sieht das ganz gut aus damit. TLS1.3 wird unterstützt (der nginx ist statisch gegen ne eigene openssl-1.1 gelinkt).
Damit hab ich n A+-Rating (100/100/90/90) und alle Handshake-Tests sehen gut aus.
In Puncto Key Exchange sah ich schon bessere Werte (auf meinem Produktivserver), da muss ich nochmal nachbessern. Cipher Strength lass ich so, weil: wenn man da 100% will, hab ich immer wieder Schwierigkeiten mit älteren (nicht antiken) Clients
bei dem Teil mit der Handshake Simulation, wieviel ist da rot?
ich hab schon eine weile folgende SSL-Settings
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite 'EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA:EECDH:EDH+AESGCM:EDH:ECDH+AESGCM:ECDH+AES:ECDH:AES:HIGH:MEDIUM:!SSLv2:+SSLv3:!3DES:!RC4:!MD5:!IDEA:!SEED:!aNULL:!eNULL:!LOW:!EXP:!DSS:!PSK:!RSA:!SRP'
SSLHonorCipherOrder on
ergibt ein A+-Rating(100/95/90/90)
erlaubt man nur TLSv1.2 ergibt dies ein A+-Rating(100/100/90/90)
Das 100% A+ Rating schafft man derzeit übrigens so… (Debian Buster; TLSv1.3 ist nur als Vorbereitung drinnen)
ssl_ciphers "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384";
ssl_dhparam /etc/nginx/dhparam-4096.pem;
ssl_ecdh_curve secp384r1;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
ssl_session_timeout 1d;
Die Cipherliste ist von Mozilla, wobei alle 128 Bit Cipher entfernt wurden.
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
ssl_stapling on;
ssl_stapling_verify on;
ssl_certificate /etc/ssl/certbot/rsa.fullchain.pem;
ssl_certificate_key /etc/ssl/certbot/rsa.key;
ssl_certificate /etc/ssl/certbot/ecc.fullchain.pem;
ssl_certificate_key /etc/ssl/certbot/ecc.key;
add_header Strict-Transport-Security "max-age=15552000";
Alles anzeigen
Nicht vergessen, die DH-Datei mit 4096 Bit zu generieren!
Jetzt fehlt nur noch eine Bestnote bei securityheaders.com
Sorry, Doppelpost…
Bei ECDSA Zertifikaten, nein (nichts übersehen). Bei RSA Zertifikaten kannst du die Option --reuse-key nutzten, um zu verhindern, dass sich der Key dauernd ändert.
Die Quick & Dirty Lösung als Gist: https://gist.github.com/killer…ed8ce7b26e9a445b712bd09d4
Das Script ist derzeit nur dafür gedacht, ein Zertifikat für den Hostnamen (FQDN) des Systems anzufordern. Mehr brauche ich auf dem Zielsystem nicht.
Wie sprecht ihr eigentlich vi / vim aus? Ich sage immer "wie" bzw. "wimm", aber das klingt so komisch... als englische Abkürzung klingt es jedoch auch nicht so toll. Vielleicht benutz ich ja deswegen meistens nano
Wie sprecht ihr eigentlich vi / vim aus? Ich sage immer "wie" bzw. "wimm", aber das klingt so komisch... als englische Abkürzung klingt es jedoch auch nicht so toll. Vielleicht benutz ich ja deswegen meistens nano
Wie Ei und Wimm.
Ich nutze vi schon seit über zwei Jahren. hauptsächlich weil ich noch nicht herausgefunden habe, wie ich das Programm verlasse
===========
Ich bin ein Nano-Mensch, kann in Notfällen aber auch mit vi. Ist nur nicht mein primärer Terminal-Editor.
nano ist schon die korrekte Aussprache. Schneller und kleiner in RAM und Festplatte.
Hast Recht, hab die Profilbilder verwechselt
Hast Recht, hab die Profilbilder verwechselt
Danke. Bin nicht alleine