Hallo Leute, bin bzgl SSL etwas verunsichert ... SSLProtocol All -SSLv2 -SSLv3 SSLCipherSuite EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH: +CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP: !PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA aber in der 'SSLCipherSuite' taucht '+SSLv3' auf ... nachdem ich einen Kollegen darauf angesprochen habe, meinte dieser: "SSLv3 wird mit "SSLProtocol All -SSLv2 -SSLv3" deaktiviert. In der SSLCipherSuite steht das, weil alte Systeme damit besser klar kommen sollen." Ich denke SSLv3 ist unsicher. Also sollte es meiner Meinung nach auch nicht mehr in der SSLCipherSuite stehen ... ... was meint Ihr Fachleute dazu? Ich persönlich würde folgende SSLCipherSuite verwenden wollen (lasse mich hier gerne von einer besseren überzeugen) SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA256:!DHE-RSA-AES256-SHA256:!DHE-RSA-AES128-SHA:!DHE-RSA-AES256-SHA:!DHE-RSA-CAMELLIA128-SHA:!DHE-RSA-CAMELLIA256-SHA Vielen Dank :) -- Christian ---------------------------------------------------- - Please do not 'CC' me on list mails. Just reply to the list :) ---------------------------------------------------- Der ultimative shop für Sportbekleidung und Zubehör http://www.sc24.de ---------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Wed, Feb 03, 2016 at 01:43:58PM +0100, Christian wrote:
Hallo Leute,
bin bzgl SSL etwas verunsichert ...
SSLProtocol All -SSLv2 -SSLv3 SSLCipherSuite EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH: +CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP: !PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA
aber in der 'SSLCipherSuite' taucht '+SSLv3' auf ... nachdem ich einen Kollegen darauf angesprochen habe, meinte dieser: "SSLv3 wird mit "SSLProtocol All -SSLv2 -SSLv3" deaktiviert. In der SSLCipherSuite steht das, weil alte Systeme damit besser klar kommen sollen."
Ich denke SSLv3 ist unsicher. Also sollte es meiner Meinung nach auch nicht mehr in der SSLCipherSuite stehen ...
... was meint Ihr Fachleute dazu?
Ich persönlich würde folgende SSLCipherSuite verwenden wollen (lasse mich hier gerne von einer besseren überzeugen) SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA256:!DHE-RSA-AES256-SHA256:!DHE-RSA-AES128-SHA:!DHE-RSA-AES256-SHA:!DHE-RSA-CAMELLIA128-SHA:!DHE-RSA-CAMELLIA256-SHA
Das Protokoll wird bereits korrekt gesetzt durch "SSLProtocol All -SSLv2 -SSLv3" Danach ist SSL 2 und SSL 3 deaktiviert und wird durch die CipherSuite auch nicht mehr aktiviert. In der Ciphersuite macht SSLv3 nicht mehr viel, es fuegt noch ein paar ciphers hinzu, aber nicht das Protokoll. openssl ciphers -v 'SSLv3' Zeigt die Ciphers an. Eine Reduktion auf andere Listen ist empfehlenswert, da gibts verschiedenen recommendations von verschiedenen Webseiten. Ciao, Marcus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 03.02.2016 um 14:18 schrieb Marcus Meissner:
In der Ciphersuite macht SSLv3 nicht mehr viel, es fuegt noch ein paar ciphers hinzu, aber nicht das Protokoll.
hmmm ... wozu brauche ich SSLv3 Ciphers, wenn ich das Protokoll -SSLv3 nicht mehr erlaube ?? verwirrt bin ... bitte um Erleuchtung. Danke :) -- Christian ---------------------------------------------------- - Please do not 'CC' me on list mails. Just reply to the list :) ---------------------------------------------------- Der ultimative shop für Sportbekleidung und Zubehör http://www.sc24.de ---------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Wed, Feb 03, 2016 at 03:31:27PM +0100, Christian wrote:
Am 03.02.2016 um 14:18 schrieb Marcus Meissner:
In der Ciphersuite macht SSLv3 nicht mehr viel, es fuegt noch ein paar ciphers hinzu, aber nicht das Protokoll.
hmmm ... wozu brauche ich SSLv3 Ciphers, wenn ich das Protokoll -SSLv3 nicht mehr erlaube ?? verwirrt bin ... bitte um Erleuchtung.
Das sind alle die ciphers die in SSL 3 drin sind, als shortcut. Ist eigentlich zu verwirrend, ja. Ciao, Marcus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Wed, 3 Feb 2016 14:18:28 +0100 schrieb Marcus Meissner <meissner@suse.de>:
On Wed, Feb 03, 2016 at 01:43:58PM +0100, Christian wrote:
Hallo Leute,
bin bzgl SSL etwas verunsichert ...
SSLProtocol All -SSLv2 -SSLv3 SSLCipherSuite EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH: +CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP: !PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA
aber in der 'SSLCipherSuite' taucht '+SSLv3' auf ... nachdem ich einen Kollegen darauf angesprochen habe, meinte dieser: "SSLv3 wird mit "SSLProtocol All -SSLv2 -SSLv3" deaktiviert. In der SSLCipherSuite steht das, weil alte Systeme damit besser klar kommen sollen."
Ich denke SSLv3 ist unsicher. Also sollte es meiner Meinung nach auch nicht mehr in der SSLCipherSuite stehen ...
... was meint Ihr Fachleute dazu?
Ich persönlich würde folgende SSLCipherSuite verwenden wollen (lasse mich hier gerne von einer besseren überzeugen) SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA256:!DHE-RSA-AES256-SHA256:!DHE-RSA-AES128-SHA:!DHE-RSA-AES256-SHA:!DHE-RSA-CAMELLIA128-SHA:!DHE-RSA-CAMELLIA256-SHA
Das Protokoll wird bereits korrekt gesetzt durch "SSLProtocol All -SSLv2 -SSLv3"
Danach ist SSL 2 und SSL 3 deaktiviert und wird durch die CipherSuite auch nicht mehr aktiviert.
In der Ciphersuite macht SSLv3 nicht mehr viel, es fuegt noch ein paar ciphers hinzu, aber nicht das Protokoll.
openssl ciphers -v 'SSLv3'
Zeigt die Ciphers an.
Eine Reduktion auf andere Listen ist empfehlenswert, da gibts verschiedenen recommendations von verschiedenen Webseiten.
Ich denke, mit ciphers suite 'HIGH:ALL:-SSLv2:-SSLv3' bist du gut bedient. -Dieter -- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Mittwoch, 3. Februar 2016, 13:43:58 CET schrieb Christian:
Hallo Leute,
bin bzgl SSL etwas verunsichert ...
SSLProtocol All -SSLv2 -SSLv3 SSLCipherSuite EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH: +CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP: !PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA
aber in der 'SSLCipherSuite' taucht '+SSLv3' auf ... nachdem ich einen Kollegen darauf angesprochen habe, meinte dieser: "SSLv3 wird mit "SSLProtocol All -SSLv2 -SSLv3" deaktiviert. In der SSLCipherSuite steht das, weil alte Systeme damit besser klar kommen sollen."
Ich denke SSLv3 ist unsicher. Also sollte es meiner Meinung nach auch nicht mehr in der SSLCipherSuite stehen ...
... was meint Ihr Fachleute dazu?
Ich persönlich würde folgende SSLCipherSuite verwenden wollen (lasse mich hier gerne von einer besseren überzeugen) SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-G CM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGC M:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECD HE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE- RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-S HA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SH A:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5: !PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:! DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA256: !DHE-RSA-AES256-SHA256:!DHE-RSA-AES128-SHA:!DHE-RSA-AES256-SHA:!DHE-RSA-CAME LLIA128-SHA:!DHE-RSA-CAMELLIA256-SHA
Vielen Dank :)
Hallo, ich weiß jetzt nicht, wie der Rest hier dazu steht und ob es wirklich die optimale Konfiguration ist, aber ich halte mich immer an diese Empfehlungen: https://mozilla.github.io/server-side-tls/ssl-config-generator/ Beste Grüße Matthias -- Das Gesetz hat zum Schneckengang verdorben, was Adlerflug geworden wäre. (Friedrich Schiller - Die Räuber) Und der Buschfunk spielt gerade "Fallen" von "Burden of Grief". www.buschmann23.de GPG-Key: 0x614C3258 GPG Fingerprint: B770 E0D0 69CF BFC1 5FE1 D78E 3A70 A936 614C 3258
Am 03.02.2016 um 17:08 schrieb Matthias Fehring:
Am Mittwoch, 3. Februar 2016, 13:43:58 CET schrieb Christian:
Hallo Leute,
bin bzgl SSL etwas verunsichert ...
SSLProtocol All -SSLv2 -SSLv3 SSLCipherSuite EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH: +CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP: !PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA
aber in der 'SSLCipherSuite' taucht '+SSLv3' auf ... nachdem ich einen Kollegen darauf angesprochen habe, meinte dieser: "SSLv3 wird mit "SSLProtocol All -SSLv2 -SSLv3" deaktiviert. In der SSLCipherSuite steht das, weil alte Systeme damit besser klar kommen sollen."
Ich denke SSLv3 ist unsicher. Also sollte es meiner Meinung nach auch nicht mehr in der SSLCipherSuite stehen ...
... was meint Ihr Fachleute dazu?
Ich persönlich würde folgende SSLCipherSuite verwenden wollen (lasse mich hier gerne von einer besseren überzeugen) SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-G CM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGC M:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECD HE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE- RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-S HA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SH A:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5: !PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:! DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA256: !DHE-RSA-AES256-SHA256:!DHE-RSA-AES128-SHA:!DHE-RSA-AES256-SHA:!DHE-RSA-CAME LLIA128-SHA:!DHE-RSA-CAMELLIA256-SHA
Vielen Dank :)
Hallo,
ich weiß jetzt nicht, wie der Rest hier dazu steht und ob es wirklich die optimale Konfiguration ist, aber ich halte mich immer an diese Empfehlungen:
https://mozilla.github.io/server-side-tls/ssl-config-generator/
Beste Grüße Matthias
Danke :) Das gefällt mir ... -- Christian ---------------------------------------------------- - Please do not 'CC' me on list mails. Just reply to the list :) ---------------------------------------------------- Der ultimative shop für Sportbekleidung und Zubehör http://www.sc24.de ---------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (4)
-
Christian -
Dieter Klünter -
Marcus Meissner -
Matthias Fehring