Perfect Forward Secrecy

[spookie79]

Bei einem Test durch
https://www.ssllabs.com
stellte ich fest, dass ich kein "Perfect Forward Secrecy" aktiv habe und daher nur eine A- bekommen. Habe nun einige Seiten gelesen und bin soweit gekommen, dass man folgendes in die ssl.conf einfügen müsste, diese suche ich aber noch vergeblich.

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"

Es ist ein VServer mit aktuellem Ubuntu 14.04 und Plesk17 drauf. Ich nutze den Apache.

Könnt Ihr mir helfen, ob das der gesamte Abschnitt, der genommen werden muss und wo der nun eingesetzt werden muss?

 

[Joe User]

Du möchtest wahrscheinlich eher eine Konfiguration wie diese:

LoadModule socache_shmcb_module libexec/apache24/mod_socache_shmcb.so
LoadModule socache_dbm_module libexec/apache24/mod_socache_dbm.so
LoadModule ssl_module libexec/apache24/mod_ssl.so
<IfModule ssl_module>
    SSLRandomSeed startup "file:/dev/urandom" 65536
    SSLRandomSeed connect "file:/dev/urandom" 65536
    SSLPassPhraseDialog builtin
    <IfModule socache_shmcb_module>
        SSLSessionCache "shmcb:/var/run/ssl_scache(512000)"
    </IfModule>
    <IfModule !socache_shmcb_module>
        <IfModule socache_dbm_module>
            SSLSessionCache "dbm:/var/run/ssl_scache"
        </IfModule>
        <IfModule !socache_dbm_module>
            SSLSessionCache "nonenotnull"
        </IfModule>
    </IfModule>
    SSLSessionTickets Off
    SSLHonorCipherOrder On
    SSLStrictSNIVHostCheck On
    SSLOptions +StrictRequire +StdEnvVars
    SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2
    SSLCipherSuite "EECDH+ECDSA+CHACHA20 EECDH+CHACHA20 EECDH+ECDSA+AESGCM EECDH+AESGCM EECDH+ECDSA+AES256 EECDH+AES256 EECDH+ECDSA+AES128 EECDH+AES128 EDH+CHACHA20 EDH+AESGCM EDH+AES256 EDH+AES128 !CAMELLIA !SEED !IDEA !RC2 !RC4 !aDSS !kECDHe !kECDHr !kDHd !kDHr !eNULL !aNULL !MEDIUM !LOW !EXPORT"
    SSLOCSPEnable On
    <IfModule socache_shmcb_module>
        SSLUseStapling On
        SSLStaplingCache "shmcb:/var/run/stapling_cache(128000)"
    </IfModule>
    <IfModule !socache_shmcb_module>
        <IfModule socache_dbm_module>
            SSLUseStapling On
            SSLStaplingCache "dbm:/var/run/stapling_cache"
        </IfModule>
        <IfModule !socache_dbm_module>
            SSLUseStapling Off
        </IfModule>
    </IfModule>
    Include "etc/apache24/vhosts-ssl.conf"
</IfModule>

Pfade bitte selbst ans eigene System anpassen.

Doku: https://httpd.apache.org/docs/2.4/en/

 

[GwenDragon]

Erzeuge eine Datei /etc/apache2/conf-available/zzzz_httpd.conf
Packe deine benutzerdefinierten SSL-Einstellungen zwischen

<IfModule mod_ssl.c>
…
</IfModule>

Aktiviere sie mit a2enconf zzzz_httpd
Starte Apache neu

 

[Deleted member 11740]

Schau mal hier:

https://www.sherbers.de/howto/nginx/

 

[spookie79]

Danke Euch.

Ich habe eben die Änderung von Gwen durchgeführt, da ich zu Joe´s Lösung leider nicht wusste, in welcher Datei ich das eintragen müsste.

Nachdem ich Gwen´s Vorschlag durchgeführt habe, ist das Rating vpom SSLLabs von A- auf B gerutscht. Die Meldung "The Server does not support Forward Secrecy with the reference browsers. Grade reduced to A-" hat sich nun zu B und folgender neuer Meldung geändert: "This server accepts RC4 cipher, but only with older protocols. Grade capped to B."

Um einen Fehler oder zufällige Änderung seitdem auszuschließen, habe ich die neu erstellte zzzz_httpd.conf wieder so geleert, dass die SSL Zeilen oben fehlen. Damit rutscht der Grad wieder A- und die Secrecy kommt wieder auf.

 

[Bierteufel]

Mach mal:

SSLCipherSuite HIGH:!kRSA:!kDHr:!kDHd:!kSRP:!aNULL:!3DES:!MD5

 

[elias5000]

Hier mal ein Auszug aus meiner globalen Config:

SSLStrictSNIVHostCheck on

SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2
SSLOptions +StrictRequire +StdEnvVars
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+CHACHA20 EECDH+AESGCM EECDH+AES256 EECDH+AES128 EDH+CHACHA20 EDH+AESGCM EDH+AES256 EDH+AES128 !RC4 !eNULL !aNULL !MEDIUM !LOW !EXP"
SSLOCSPEnable On
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache shmcb:/var/run/ocsp(128000)

Damit komme ich auf ein A (für das + fehlt noch der HSTS header - der ist bei mir im jeweiligen VHost).