[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [Poll] https nur mit AES?
[Thread Prev] | [Thread Next]
- Subject: Re: [Poll] https nur mit AES?
- From: Raphael Eiselstein <rabe@xxxxxxxxx>
- Date: Fri, 6 Dec 2013 00:07:54 +0100
- To: uugrn@xxxxxxxxxxxxxxx
On Wed, Dec 04, 2013 at 11:52:08PM +0100, Philipp Schafft wrote: > Generell rate ich im crypto bereich dazu ehr die defaults zu fahren wenn > man nicht weiss was man tut (auch wenn man sich ggf. einbildet dies zu > wissen). Sollte einem auffallen das ein veralteter standard weiter > verwendet wird (bsp. SSLv2) sollte man das upstream melden. Es gibt hier so gesehen kein upstream, die entsprechenden SSL config-Schnipsel habe ich jetzt schon jahrelang immer aufs Neue kopiert. Da waren noch ganz gruselige Sachen wie 40Bit Verschluesselung mit drin, nicht dass jemand das genutzt haette, aber haette nutzen koennen. Ob das methodisch fuer einen Laien wie mich geschickt ist oder nicht, ich habe einfach so lange gegooglt und Parameter durchprobiert, bis https://www.ssllabs.com/ssltest/analyze.html?d=wiki.uugrn.org nicht mehr "Grade F" (=durchgefallen) angezeigt hat sondern wenigstens "Grade B" (weil CRIME noch geht wegen TLS-Kompression). Das war natuerlich einfacher sukzessive die Liste der angebotenen Cipher zu reduzieren ... was natuerlich ein Sakrileg ist!1!elf12 ;-) Zu den "EC*"-Ciphern wurde mir gefluestert, dass diese tendenziell problemtisch seien. Ich habe mich hier nicht mit Details aufgehalten und sie kurzerhand aus meiner Liste verbannt ;-) Wer mag mir das genaue Problem von EC*-Ciphern nochmal erklaeren? Patente? NIST und NSA? Irgendwas war. Auf web.uugrn.org (wiki, blogs, ...) und uugrn.uugrn.org (www, ... ) habe ich folgendes aktiv: ---------------------------------------- SSLEngine on SSLProtocol ALL -SSLv2 SSLCipherSuite HIGH:!ADH:!RC4:!3DES SSLHonorCipherOrder On ---------------------------------------- Bisher hat sich noch niemand beschwert ;-) Gruss Raphael -- Raphael Eiselstein <rabe@xxxxxxxxx> http://rabe.uugrn.org/ xmpp:freibyter@xxxxxx | https://www.xing.com/profile/Raphael_Eiselstein PGP (alt): E7B2 1D66 3AF2 EDC7 9828 6D7A 9CDA 3E7B 10CA 9F2D PGP (neu): 4E63 5307 6F6A 036D 518D 3C4F 75EE EA14 F625 DB4E .........|.........|.........|.........|.........|.........|.........|.. -- UUGRN e.V. http://www.uugrn.org/ http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/