Hallo Ralf, Am 02.03.2017 um 07:12 schrieb Ralf Prengel:
1) Was ist der aktuelle Stand 2017. Welche Verfahren sollten man noch anbieten
guck mal hier: https://www.ssllabs.com/ssltest/ Da kannst Du Deinen Server testen lassen. Ich habe die Einstellung pro VHOST drin.
2) Der Host hat 20 vhosts. Muss die Konfiguration in jede vhost-Datei oder reicht die ssl-global.conf?
Laufen alle VHosts auf 443 mit NameVirtualHost und SNI (ServerNameIndication) ?? SNI läuft bei mir ganz hervorragend und funktioniert prima. Sehr gern kann ich Dir mal eine MusterVhost-Datei senden (ich denke am besten dann per PM). Mit meiner Konfiguration erreiche ich mind. ein "A"-Rating und erlaube derzeit TLS1.0 und TLS1.2 Wenn du weitere Fragen hast, melde Dich einfach. Hier mal mein Teil der SSL-Config: # SSL-Configuration for Apache_Hosts # https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html # Testing the SSL Security from the ApacheServer # https://www.ssllabs.com/ssltest/ SSLEngine on SSLCompression off SSLProtocol All -SSLv3 -SSLv2 -TLSv1.1 # Activating Einstellung von HTTP Strict Transport Security HSTS # https://magazin.sslmarket.de/inpage/erreichen-sie-im-ssllabs-test-die-note-a... # https://www.21x9.org/http-strict-transport-security/ # https://raymii.org/s/articles/HTTP_Public_Key_Pinning_Extension_HPKP.html # https://www.ssllabs.com/downloads/SSL_Server_Rating_Guide.pdf # #Header always set Strict-Transport-Security "max-age=31536000; includeSubDomain" Header always set Strict-Transport-Security "max-age=31536000" ## SSLCipherSuite ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES128-SHA:AES128-SHA:RC4-SHA # SSLCipherSuite HIGH:!aNULL:!MD5 # Strong SSL Cipher Suites against poodle #SSLCipherSuite HIGH:!ADH:!SSLv2:!SSLv3 SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA SSLHonorCipherOrder on SSLCertificateFile /apache/ssl/@@SERVERNAME@@.crt SSLCertificateKeyFile /apache/ssl/@@SERVERNAME@@.key ## Root-CA-File - please choose the right one... SSLCACertificateFile /apache/ssl/startcomssl_root_1_ca_certificate.crt SSLCACertificateFile /apache/ssl/@@SERVERNAME@@_root_bundle.crt -- Gruß/Kind regards Axel ------------------------------ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org