Cipher´s CDHE / ECDHE ... usw. | Verständnissfrage

R

Rukola

New Member
Sollte in der Überschrift DHE heißen und nicht CDHE, konnte es nicht mehr verbessern ;)
---------------------------------------------------------------------------------------

Es geht um folgendes .... Ich habe bisher folgende Konfiguration im Apache (ssl.conf) genutzt.

Auszug:

SSLHonorCipherOrder on
SSLProtocol all -SSLv3 -TLSv1.1
SSLCipherSuite "DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES256-SHA:ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA"

Ich nutze auf meinem Androiden den Firefox und bin mal aus Neugier mit dem Chromebrowser eines Freundes bei mir auf die Page gegangen. Zu meinem Erstaunen kam da bei Details die Meldung, dass ich eine veraltete unsichere Verschlüsselung nutzte.

Ich habe dann einmal auf diese Cipher gewechselt:

EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH


Ergebnis... der Chrome sagt nun das alles toll ist , aber SSL-Labs zieht bei der Bewertung ein paar (zwar unwesentliche Punkte) ab. Siehe Bild !

Soweit ich nun gelesen habe, sind die eliptischen Kurven leichter zu berechnen und moderner !? Nun hat meine ursprüngliche 256 bit und die neue 128 was dann bei SSL-Labs einen Abzug gibt. Vermutlich ist ja alles unwesentlich, aber interessieren würde es mich schon. Sind die DHE Cipher schlechter, unmodern und sollte man eliptische in Zukunft verwenden ? Ist die Warnung vom Chrome unfug ? Was würdet ihr empfehlen welche Cipher am sichersten sind und was ihr verwendet.
 

Attachments

  • ssllabs.jpg
    ssllabs.jpg
    250.6 KB · Views: 168
Min 256bit only für 100 cipher strength.
Code: 
DHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES256-SHA
Edit: ups, benutz du ja schon. Evtl mal den kompletten ssllavs bericht posten. Gut möglich das der DHE stört
 
Last edited by a moderator:
@MadMakz

Ja scheint tatsächlich die DHE zu sein, wie du schreibst und was der Chrome bemängelt.


Ich habe mich nun für diese hier entschieden:

Code: 
SSLCipherSuite "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA!CAMELLIA !RC4 !3DES !IDEA !SEED !PSK !SRP !DSS !eNULL !aNULL !LOW !EXP"

Die "ECDHE-RSA-AES256-GCM-SHA384" wird leider vom FF noch nicht unterstützt und nur vom EDGE12

Bei der letzten: "ECDHE-RSA-AES256-SHA" -> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

bin ich mir noch nicht sicher. Ohne die läuft der Androide 4.3 und geringer nicht mehr. IE7 Vista auch nicht aber das wäre mir egal. Lohnt das überhaupt noch die drinn zu lassen ? Was meint ihr ?
 
Last edited by a moderator:
Pfade selbst anpassen sofern nötig:
Code: 
<IfModule ssl_module>
    SSLRandomSeed startup file:/dev/urandom 65536
    SSLRandomSeed connect file:/dev/urandom 65536
    SSLPassPhraseDialog builtin
    <IfModule socache_shmcb_module>
        SSLSessionCache "shmcb:/var/run/ssl_scache(512000)"
    </IfModule>
    <IfModule !socache_shmcb_module>
        <IfModule socache_dbm_module>
            SSLSessionCache "dbm:/var/run/ssl_scache"
        </IfModule>
        <IfModule !socache_dbm_module>
            SSLSessionCache "nonenotnull"
        </IfModule>
    </IfModule>
    SSLSessionTickets Off
    SSLHonorCipherOrder On
    SSLStrictSNIVHostCheck On
    SSLOptions +StrictRequire +StdEnvVars
    SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2
    SSLCipherSuite "EECDH+CHACHA20 EECDH+AESGCM EECDH+AES256 EECDH+AES128 EDH+CHACHA20 EDH+AESGCM EDH+AES256 EDH+AES128 !RC4 !eNULL !aNULL !MEDIUM !LOW !EXP"
    SSLOCSPEnable On
    <IfModule socache_shmcb_module>
        SSLUseStapling On
        SSLStaplingCache "shmcb:/var/run/stapling_cache(128000)"
    </IfModule>
    <IfModule !socache_shmcb_module>
        <IfModule socache_dbm_module>
            SSLUseStapling On
            SSLStaplingCache "dbm:/var/run/stapling_cache"
        </IfModule>
        <IfModule !socache_dbm_module>
            SSLUseStapling Off
        </IfModule>
    </IfModule>
</IfModule>
 
You must log in or register to reply here.
Back
Top