Das längste Thema

  • Mein Cipher-String auf dem experimentellen Server:


    'HIGH:!MEDIUM:!WEAK:!AES128-SHA256:!AES256-SHA256:!AES128-SHA384:!AES256-SHA384:!SSLv3:!SHA1:!PSK:!LOW:!eNULL:!aNULL:!EXP:!aDH:!AES256-CCM8:!AES256-CCM:!AESCCM:!AESCCM8:!AES128-GCM-SHA256:!ARIA128-GCM-SHA256:!CAMELLIA128:!AES256-GCM-SHA384:!CAMELLIA256-SHA256:!ARIA256-GCM-SHA384:@STRENGTH'


    Bei ssllabs sieht das ganz gut aus damit. TLS1.3 wird unterstützt (der nginx ist statisch gegen ne eigene openssl-1.1 gelinkt).

    Damit hab ich n A+-Rating (100/100/90/90) und alle Handshake-Tests sehen gut aus.


    In Puncto Key Exchange sah ich schon bessere Werte (auf meinem Produktivserver), da muss ich nochmal nachbessern. Cipher Strength lass ich so, weil: wenn man da 100% will, hab ich immer wieder Schwierigkeiten mit älteren (nicht antiken) Clients ;)

  • ich hab schon eine weile folgende SSL-Settings

    Code
    SSLProtocol all -SSLv2 -SSLv3
    SSLCipherSuite 'EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA:EECDH:EDH+AESGCM:EDH:ECDH+AESGCM:ECDH+AES:ECDH:AES:HIGH:MEDIUM:!SSLv2:+SSLv3:!3DES:!RC4:!MD5:!IDEA:!SEED:!aNULL:!eNULL:!LOW:!EXP:!DSS:!PSK:!RSA:!SRP'
    SSLHonorCipherOrder on

    ergibt ein A+-Rating(100/95/90/90)

    erlaubt man nur TLSv1.2 ergibt dies ein A+-Rating(100/100/90/90)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Das 100% A+ Rating schafft man derzeit übrigens so… (Debian Buster; TLSv1.3 ist nur als Vorbereitung drinnen)

    Code
    ssl_ciphers "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384";
    ssl_dhparam /etc/nginx/dhparam-4096.pem;
    ssl_ecdh_curve secp384r1;
    ssl_prefer_server_ciphers on;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;
    ssl_session_timeout 1d;

    Die Cipherliste ist von Mozilla, wobei alle 128 Bit Cipher entfernt wurden.

    Nicht vergessen, die DH-Datei mit 4096 Bit zu generieren!


    Jetzt fehlt nur noch eine Bestnote bei securityheaders.com :D

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Sorry, Doppelpost… :saint:

    Bei ECDSA Zertifikaten, nein (nichts übersehen). Bei RSA Zertifikaten kannst du die Option --reuse-key nutzten, um zu verhindern, dass sich der Key dauernd ändert.

    Die Quick & Dirty Lösung als Gist: https://gist.github.com/killer…ed8ce7b26e9a445b712bd09d4


    Das Script ist derzeit nur dafür gedacht, ein Zertifikat für den Hostnamen (FQDN) des Systems anzufordern. Mehr brauche ich auf dem Zielsystem nicht.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • :/ Wie sprecht ihr eigentlich vi / vim aus? Ich sage immer "wie" bzw. "wimm", aber das klingt so komisch... als englische Abkürzung klingt es jedoch auch nicht so toll. Vielleicht benutz ich ja deswegen meistens nano ^^

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • :/ Wie sprecht ihr eigentlich vi / vim aus? Ich sage immer "wie" bzw. "wimm", aber das klingt so komisch... als englische Abkürzung klingt es jedoch auch nicht so toll. Vielleicht benutz ich ja deswegen meistens nano ^^

    Wie Ei und Wimm.

    Ich nutze vi schon seit über zwei Jahren. hauptsächlich weil ich noch nicht herausgefunden habe, wie ich das Programm verlasse ;)


    ===========

    Ich bin ein Nano-Mensch, kann in Notfällen aber auch mit vi. Ist nur nicht mein primärer Terminal-Editor.