tachtler:apache_http_server_archlinux_-_mod_ssl_-_verschluesselung_https
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
tachtler:apache_http_server_archlinux_-_mod_ssl_-_verschluesselung_https [2022/06/06 08:21] – [SSL-Ciphers - Apache] klaus | tachtler:apache_http_server_archlinux_-_mod_ssl_-_verschluesselung_https [2022/06/11 09:22] (aktuell) – [SSL-Ciphers - Apache] klaus | ||
---|---|---|---|
Zeile 84: | Zeile 84: | ||
# httpd 2.2.30, 2.4.13 and later force-disable aNULL, eNULL and EXP ciphers, | # httpd 2.2.30, 2.4.13 and later force-disable aNULL, eNULL and EXP ciphers, | ||
# while OpenSSL disabled these by default in 0.9.8zf/ | # while OpenSSL disabled these by default in 0.9.8zf/ | ||
- | SSLCipherSuite HIGH: | + | # Tachtler |
- | SSLProxyCipherSuite HIGH: | + | # default: |
+ | SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256: | ||
+ | # default: | ||
+ | SSLProxyCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256: | ||
+ | |||
# By the end of 2016, only TLSv1.2 ciphers should remain in use. | # By the end of 2016, only TLSv1.2 ciphers should remain in use. | ||
# Older ciphers should be disallowed as soon as possible, while the | # Older ciphers should be disallowed as soon as possible, while the | ||
Zeile 99: | Zeile 102: | ||
# SSLCipherSuite HIGH: | # SSLCipherSuite HIGH: | ||
# SSLProxyCipherSuite HIGH: | # SSLProxyCipherSuite HIGH: | ||
+ | |||
# User agents such as web browsers are not configured for the user's | # User agents such as web browsers are not configured for the user's | ||
# own preference of either security or performance, | # own preference of either security or performance, | ||
# must be the prerogative of the web server administrator who manages | # must be the prerogative of the web server administrator who manages | ||
# cpu load versus confidentiality, | # cpu load versus confidentiality, | ||
- | SSLHonorCipherOrder on | + | SSLHonorCipherOrder on |
+ | |||
# SSL Protocol support: | # SSL Protocol support: | ||
# List the protocol versions which clients are allowed to connect with. | # List the protocol versions which clients are allowed to connect with. | ||
Zeile 111: | Zeile 114: | ||
# | # | ||
# | # | ||
- | SSLProtocol all -SSLv3 | + | # Tachtler |
- | SSLProxyProtocol all -SSLv3 | + | # default: |
+ | SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 | ||
+ | # Tachtler | ||
+ | # default: | ||
+ | SSLProxyProtocol all -SSLv3 -TLSv1 -TLSv1.1 | ||
# Pass Phrase Dialog: | # Pass Phrase Dialog: | ||
Zeile 337: | Zeile 344: | ||
</ | </ | ||
++++ | ++++ | ||
+ | |||
+ | **__Erklärungen__**: | ||
+ | |||
+ | * <code apache> | ||
+ | |||
+ | Diese komplexe Direktive verwendet eine durch Doppelpunkte getrennte Cipher-Zeichenkette, | ||
+ | |||
+ | * <code apache> | ||
+ | |||
+ | Diese Direktive kann verwendet werden, um die SSL-Protokollvarianten zu steuern, die '' | ||
+ | |||
+ | * <code apache> | ||
+ | |||
+ | Diese Direktive kann verwendet werden, um zu steuern, welche Versionen des SSL/ | ||
+ | |||
+ | * <code apache> | ||
+ | |||
+ | Mit dieser Direktive kann gesteuert werden, welche SSL-Protokollvarianten '' | ||
**__Erklärungen__**: | **__Erklärungen__**: | ||
Zeile 2237: | Zeile 2262: | ||
* <code apache> | * <code apache> | ||
- | Bei der Auswahl von Cipher (Verschlüsselungs-Algorithmen) während eines SSLv3- oder TLSv1-Handshake mit einem CLient | + | Bei der Auswahl von Cipher (Verschlüsselungs-Algorithmen) während eines SSLv3- oder TLSv1-Handshake mit einem Client |
+ | |||
+ | * <code apache> | ||
+ | |||
+ | **Dies ist die Standard-Einstellung** und ist normalerweise **__nicht__** explizit in der Konfigurationsdatei ''/ | ||
+ | Das " | ||
+ | |||
+ | Ein Aufruf mit nachfolgenden Parametern ergab nachfolgende Antwort: | ||
+ | |||
+ | [[https:// | ||
+ | |||
+ | {{: | ||
+ | |||
+ | ==== SSL-Ciphers - Apache: / | ||
+ | |||
+ | Nachfolgende Konfigurationsdatei | ||
+ | * ''/ | ||
+ | muss so abgeändert werden: | ||
+ | |||
+ | (**__Nur relevanter Ausschnitt__**): | ||
+ | <code apache> | ||
+ | # SSL Cipher Suite: | ||
+ | # List the ciphers that the client is permitted to negotiate, | ||
+ | # and that httpd will negotiate as the client of a proxied server. | ||
+ | # See the OpenSSL documentation for a complete list of ciphers, and | ||
+ | # | ||
+ | # httpd 2.2.30, 2.4.13 and later force-disable aNULL, eNULL and EXP ciphers, | ||
+ | # while OpenSSL disabled these by default in 0.9.8zf/ | ||
+ | # Tachtler | ||
+ | # default: SSLCipherSuite HIGH: | ||
+ | SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256: | ||
+ | # default: SSLProxyCipherSuite HIGH: | ||
+ | SSLProxyCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256: | ||
+ | |||
+ | # By the end of 2016, only TLSv1.2 ciphers should remain in use. | ||
+ | # Older ciphers should be disallowed as soon as possible, while the | ||
+ | # kRSA ciphers do not offer forward secrecy. | ||
+ | # older clients (such as IE6 SP2 or IE8 on Windows XP, or other legacy | ||
+ | # non-browser tooling) from successfully connecting. | ||
+ | # | ||
+ | # To restrict mod_ssl to use only TLSv1.2 ciphers, and disable | ||
+ | # those protocols which do not support forward secrecy, replace | ||
+ | # the SSLCipherSuite and SSLProxyCipherSuite directives above with | ||
+ | # the following two directives, as soon as practical. | ||
+ | # SSLCipherSuite HIGH: | ||
+ | # SSLProxyCipherSuite HIGH: | ||
+ | |||
+ | # User agents such as web browsers are not configured for the user' | ||
+ | # own preference of either security or performance, | ||
+ | # must be the prerogative of the web server administrator who manages | ||
+ | # cpu load versus confidentiality, | ||
+ | SSLHonorCipherOrder on | ||
+ | |||
+ | # SSL Protocol support: | ||
+ | # List the protocol versions which clients are allowed to connect with. | ||
+ | # | ||
+ | # | ||
+ | # | ||
+ | # Tachtler | ||
+ | # default: SSLProtocol all -SSLv3 | ||
+ | SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 | ||
+ | # Tachtler | ||
+ | # default: SSLProxyProtocol all -SSLv3 | ||
+ | SSLProxyProtocol all -SSLv3 -TLSv1 -TLSv1.1 | ||
+ | </ | ||
+ | |||
+ | **__Erklärungen__**: | ||
+ | |||
+ | * <code apache> | ||
+ | |||
+ | Diese komplexe Direktive verwendet eine durch Doppelpunkte getrennte Cipher-Zeichenkette, | ||
+ | |||
+ | * <code apache> | ||
+ | |||
+ | Diese Direktive kann verwendet werden, um die SSL-Protokollvarianten zu steuern, die '' | ||
+ | |||
+ | * <code apache> | ||
+ | |||
+ | Diese Direktive kann verwendet werden, um zu steuern, welche Versionen des SSL/ | ||
+ | |||
+ | * <code apache> | ||
+ | |||
+ | Mit dieser Direktive kann gesteuert werden, welche SSL-Protokollvarianten '' | ||
+ | |||
+ | ==== SSL-Ciphers - Apache - Neustart Apache HTTPD Server ==== | ||
+ | |||
+ | Es muss nun ein abschliessender **Neustart** erfolgen, was mit nachfolgendem Befehl durchgeführt werden kann: | ||
+ | < | ||
+ | # systemctl restart httpd.service | ||
+ | </ | ||
+ | |||
+ | :!: **HINWEIS** - **Es erfolgen __keine__ weiteren Ausgaben, wenn der Start erfolgreich war !** | ||
+ | |||
+ | ==== SSL-Ciphers - Apache - Test ==== | ||
+ | |||
+ | Unter nachfolgendem Link kann eine **" | ||
+ | |||
+ | Siehe auch nachfolgenden externen Link: | ||
+ | * [[https:// | ||
+ | |||
+ | Ein Aufruf mit nachfolgenden Parametern ergab nachfolgende Antwort: | ||
+ | |||
+ | [[https:// | ||
- | * < | + | {{: |
- | **Dies ist die Standard-Einstellung** und ist normalerweise **__nicht__** explizit in der Konfigurationsdatei '''' |
tachtler/apache_http_server_archlinux_-_mod_ssl_-_verschluesselung_https.1654496462.txt.gz · Zuletzt geändert: 2022/06/06 08:21 von klaus