RE: Frage zu SSLCipherSUit (Apache)

Hallo, Ralf Prengel schrieb:

1) Was ist der aktuelle Stand 2017.

Ich habe hier SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!3DES Meines Erachtens ist wichtig, dass 3DES sowie SSL2 und SSL3 deaktiviert sind. Ich glaube, es gab eine Empfehlung des BSI, TLS1.0 auch zu deaktivieren. Damit sperrt man aber zu viele Clients aus, weswegen das bei vielen trotzdem weiterhin aktiv ist. Siehe dazu hier: https://www.heise.de/security/artikel/Das-BSI-und-der-Elfenbeinturm-2589893.... Ich prüfe das dann mit https://www.ssllabs.com/ssltest/index.html Das dauert etwas, aber die checken auch die Cipher-Suites.

2) Der Host hat 20 vhosts. Muss die Konfiguration in jede vhost-Datei oder reicht die ssl-global.conf?

Einmal zentral in der ssl-global.conf reicht. -- Mit freundlichen Grüßen Thomas Voigt Rgbx������޲ץ���r���҉碝��V������uﮞ˛���m�)z{.��+�I�zr�ק
٢�+-��h�;����r���brG�J'��w�j)Z��^�ˬy׾� ޮ�^�ˬz��