Lord Gurke
Nur echt mit 32 Zähnen
Hallo zusammen,
ich versuche gerade einem Apache (httpd) unter CentOS 6.5 eine SSL-Cipherliste zu konfigurieren.
Allerdings stehe ich gerade auf dem Schlauch, warum das nicht in die Realität übernommen wird...
Ich habe folgendes konfiguriert:
Laut openssl müssten dabei folgende Ciphers bei rausfallen:
Wenn ich dann versuche, mich z.B. mit "ECDHE-ECDSA-AES256-GCM-SHA384" zu verbinden bekomme ich einen Handshake-Fehler - mit "DHE-RSA-AES128-SHA256" hingegen bekomme ich meine Verbindung:
Es gibt keine weiteren Konfigurationsdateien, in denen Ciphers konfiguriert werden, zudem habe ich das bereits testweise innerhalb des VHost-Blocks eingefügt. Und wenn ich eintrage, dass ich ausschließlich AES+RC4 haben will, dann wird das auch tatsächlich so übernommen.
Muss ich irgendwas spezielles konfigurieren, wenn ich elliptische Kurven haben will resp. muss Apache dafür anders kompiliert werden?
Momentan läuft dort die Version aus den CentOS-Repositories.
Übersehe ich etwas?
Danke!
ich versuche gerade einem Apache (httpd) unter CentOS 6.5 eine SSL-Cipherliste zu konfigurieren.
Allerdings stehe ich gerade auf dem Schlauch, warum das nicht in die Realität übernommen wird...
Ich habe folgendes konfiguriert:
Code:
SSLCipherSuite EECDH+ECDSA+AESGCM:EECDH+aRSA+AES:EECDH+ECDSA+SHA256:EECDH+aRSA-RC4:EDH+aRSA+AES:EECDH+AES:!aNULL:!eNULL:!LOW:!3DES:!MD5:!RC4:!EXP:!PSK:!SRP:!DSS:!SEED:!CAMELLIA
Laut openssl müssten dabei folgende Ciphers bei rausfallen:
Code:
~#: openssl ciphers -v 'EECDH+ECDSA+AESGCM:EECDH+aRSA+AES:EECDH+ECDSA+SHA256:EECDH+aRSA-RC4:EDH+aRSA+AES:EECDH+AES:!aNULL:!eNULL:!LOW:!3DES:!MD5:!RC4:!EXP:!PSK:!SRP:!DSS:!SEED:!CAMELLIA'
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA384
ECDHE-RSA-AES256-SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA1
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD
ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(128) Mac=SHA256
ECDHE-RSA-AES128-SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(128) Mac=SHA1
ECDHE-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(128) Mac=SHA256
DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(256) Mac=AEAD
DHE-RSA-AES256-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(256) Mac=SHA256
DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1
DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES128-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(128) Mac=SHA256
DHE-RSA-AES128-SHA SSLv3 Kx=DH Au=RSA Enc=AES(128) Mac=SHA1
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA384
ECDHE-ECDSA-AES256-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA1
ECDHE-ECDSA-AES128-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=AES(128) Mac=SHA1
Wenn ich dann versuche, mich z.B. mit "ECDHE-ECDSA-AES256-GCM-SHA384" zu verbinden bekomme ich einen Handshake-Fehler - mit "DHE-RSA-AES128-SHA256" hingegen bekomme ich meine Verbindung:
Code:
~#: openssl s_client -tls1_2 -connect xxx.xxx.xxx.xxx:https -cipher 'ECDHE-ECDSA-AES256-GCM-SHA384'
CONNECTED(00000007)
140309043812168:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1256:SSL alert number 40
140309043812168:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
Es gibt keine weiteren Konfigurationsdateien, in denen Ciphers konfiguriert werden, zudem habe ich das bereits testweise innerhalb des VHost-Blocks eingefügt. Und wenn ich eintrage, dass ich ausschließlich AES+RC4 haben will, dann wird das auch tatsächlich so übernommen.
Muss ich irgendwas spezielles konfigurieren, wenn ich elliptische Kurven haben will resp. muss Apache dafür anders kompiliert werden?
Momentan läuft dort die Version aus den CentOS-Repositories.
Übersehe ich etwas?
Danke!