Am Wed, 3 Feb 2016 14:18:28 +0100
schrieb Marcus Meissner
On Wed, Feb 03, 2016 at 01:43:58PM +0100, Christian wrote:
Hallo Leute,
bin bzgl SSL etwas verunsichert ...
SSLProtocol All -SSLv2 -SSLv3 SSLCipherSuite EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH: +CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP: !PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA
aber in der 'SSLCipherSuite' taucht '+SSLv3' auf ... nachdem ich einen Kollegen darauf angesprochen habe, meinte dieser: "SSLv3 wird mit "SSLProtocol All -SSLv2 -SSLv3" deaktiviert. In der SSLCipherSuite steht das, weil alte Systeme damit besser klar kommen sollen."
Ich denke SSLv3 ist unsicher. Also sollte es meiner Meinung nach auch nicht mehr in der SSLCipherSuite stehen ...
... was meint Ihr Fachleute dazu?
Ich persönlich würde folgende SSLCipherSuite verwenden wollen (lasse mich hier gerne von einer besseren überzeugen) SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA256:!DHE-RSA-AES256-SHA256:!DHE-RSA-AES128-SHA:!DHE-RSA-AES256-SHA:!DHE-RSA-CAMELLIA128-SHA:!DHE-RSA-CAMELLIA256-SHA
Das Protokoll wird bereits korrekt gesetzt durch "SSLProtocol All -SSLv2 -SSLv3"
Danach ist SSL 2 und SSL 3 deaktiviert und wird durch die CipherSuite auch nicht mehr aktiviert.
In der Ciphersuite macht SSLv3 nicht mehr viel, es fuegt noch ein paar ciphers hinzu, aber nicht das Protokoll.
openssl ciphers -v 'SSLv3'
Zeigt die Ciphers an.
Eine Reduktion auf andere Listen ist empfehlenswert, da gibts verschiedenen recommendations von verschiedenen Webseiten.
Ich denke, mit ciphers suite 'HIGH:ALL:-SSLv2:-SSLv3' bist du gut bedient. -Dieter -- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org