Ankündigung

Einklappen
Keine Ankündigung bisher.

Reverse Proxy

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • yachti
    antwortet
    Zitat von psilo Beitrag anzeigen
    Wie hast Du hier ein NO hinbekommen?
    Ich denke weil ich den Standard verwende. Ich generiere auch gerade den 4096 bit Schlüssel für DH mal schaun wie lange es bei mir dauert.

    Kommentiere das bitte mal aus:
    Code:
    #    ssl_dhparam ssl/dhparam.pem;
    dann sollte der openssl Standard für nginx greifen

    Einen Kommentar schreiben:


  • psilo
    antwortet
    Wie hast Du hier ein NO hinbekommen?
    Uses common DH primes Yes Replace with custom DH parameters if possible (more info)

    Einen Kommentar schreiben:


  • yachti
    antwortet
    Hier mal die Protokoll Details aus SSL Labs
    Protocol Details
    DROWN No, server keys and hostname not seen elsewhere with SSLv2
    (1) For a better understanding of this test, please read this longer explanation
    (2) Key usage data kindly provided by the Censys network search engine; original DROWN website here
    (3) Censys data is only indicative of possible key and certificate reuse; possibly out-of-date and not complete
    Secure Renegotiation Supported
    Secure Client-Initiated Renegotiation No
    Insecure Client-Initiated Renegotiation No
    BEAST attack Mitigated server-side (more info)
    POODLE (SSLv3) No, SSL 3 not supported (more info)
    POODLE (TLS) No (more info)
    Downgrade attack prevention Yes, TLS_FALLBACK_SCSV supported (more info)
    SSL/TLS compression No
    RC4 No
    Heartbeat (extension) Yes
    Heartbleed (vulnerability) No (more info)
    Ticketbleed (vulnerability) No (more info)
    OpenSSL CCS vuln. (CVE-2014-0224) No (more info)
    OpenSSL Padding Oracle vuln.
    (CVE-2016-2107)
    No (more info)
    Forward Secrecy Yes (with most browsers) ROBUST (more info)
    ALPN No
    NPN Yes http/1.1
    Session resumption (caching) Yes
    Session resumption (tickets) Yes
    OCSP stapling Yes
    Strict Transport Security (HSTS) Yes
    max-age=31536000; includeSubdomains
    HSTS Preloading Not in: Chrome Edge Firefox IE
    Public Key Pinning (HPKP) No (more info)
    Public Key Pinning Report-Only No
    Public Key Pinning (Static) No (more info)
    Long handshake intolerance No
    TLS extension intolerance No
    TLS version intolerance No
    Incorrect SNI alerts No
    Uses common DH primes No, DHE suites not supported
    DH public server param (Ys) reuse No, DHE suites not supported
    ECDH public server param reuse No
    Supported Named Groups secp384r1
    SSL 2 handshake compatibility Yes

    Einen Kommentar schreiben:


  • yachti
    antwortet
    Zitat von psilo Beitrag anzeigen
    Auf welchem Linux läuft Deiner?
    Debian Jessie 8.1
    nginx version: nginx/1.12.1
    OpenSSL 1.0.1t

    ich nur B, wegen der Diffie-Hellman Sache
    Sehr seltsam. Ich nutze die openssl Standardeinstellung für DH im nginx . Ich glaube da sind die keys nur 1024 bit
    Angehängte Dateien
    Zuletzt geändert von yachti; 14.10.2017, 11:25. Grund: Anhang hochgeladen

    Einen Kommentar schreiben:


  • psilo
    antwortet
    yachti seltsam, auch nach deinen Änderungen kriege ich nur B, wegen der Diffie-Hellman Sache. Auf welchem Linux läuft Deiner? Das File generiert immer noch, laut Netz kann das 24 Stunden dauern. Danach sollte ich auch A haben.

    Einen Kommentar schreiben:


  • yachti
    antwortet
    psilo

    darf ich fragen ob du das mit den clientzertifikaten auch nachgestellt hast?
    Nein, Clientzertifikate mache ich erwst wenn es eine Lösung für IOS gibt

    habe übrigens nur ein B wegen irgendwelchem Diffie-Hellman Kram .. was hast Du dagegen gemacht? Hier habe ich was dazu gefunden
    Ich habe ein A+
    in der nginx.conf
    Code:
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # drop SSLv3 (POODLE vulnerability)
    ssl_ciphers EECDH+AESGCM:EDH+AESGCM:EECDH:EDH:!MD5:!RC4:!LOW:!MEDIUM:!CAMELLIA:!ECDSA:!DES:!DSS:!3DES:!NULL;
    
    ssl_prefer_server_ciphers on;
    virtualHost.conf

    Code:
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    add_header X-Frame-Options DENY;
    also nichts spezielles. Ich benutze den Reverse Proxy auch für owa und activesync zum Exchange hatte da schon das A+

    malte

    heißt das, mit den Änderungen im Post 101 klappt es jetzt auch mit iOS?
    Das hat auf die IOS Funktion keine Auswirkung. Solange es für IOS keine Lösung gibt nutze ich den Proxy nicht für die SV.
    Zuletzt geändert von yachti; 14.10.2017, 08:26.

    Einen Kommentar schreiben:


  • psilo
    antwortet
    Das "openssl dhparam -out dhparam.pem 4096" generiert überigens immer noch seit gestern...
    https://security.stackexchange.com/q...after-24-hours

    Einen Kommentar schreiben:


  • malte
    antwortet
    yachti heißt das, mit den Änderungen im Post 101 klappt es jetzt auch mit iOS?

    Einen Kommentar schreiben:


  • psilo
    antwortet
    ratzi82 hmm mein Link oben hat mir gesagt, dass ich zur Lösung meines Problems mit "openssl dhparam -out dhparam.pem 4096" erstmal ein neues PEM File generieren muss.. das rattert jetzt seit 30 Minuten...

    Ich nehme Deinen Link aber mal für versiertere Nutzer auf

    Einen Kommentar schreiben:


  • ratzi82
    antwortet
    psilo

    Dann ergänze am besten auch noch den Link: https://mozilla.github.io/server-sid...fig-generator/

    Damit kannst du vernünftige Konfigurationen generieren und du solltest damit auch dein "B" wegen der Diffie-Hellman Sache wegbekommen.

    Gruß,
    Henning

    Einen Kommentar schreiben:


  • psilo
    antwortet
    yachti praktisch. das ergänze ich gleich auch noch

    darf ich fragen ob du das mit den clientzertifikaten auch nachgestellt hast?

    habe übrigens nur ein B wegen irgendwelchem Diffie-Hellman Kram - da kommen üble Erinnerungen an die Hauptdiplomprüfung in Theoretischer Informatik hoch :>.. was hast Du dagegen gemacht? Hier habe ich was dazu gefunden https://scaron.info/blog/improve-you...iguration.html
    Zuletzt geändert von psilo; 13.10.2017, 14:55.

    Einen Kommentar schreiben:


  • yachti
    antwortet
    kannst Du testen unter. https://das www.ssllabs.com/ssltest/ steht dann unter Protocol details bzw auch gleich im ersten Screen wenns passt. Kannst auch gleich die SSL und Cipher checken. Wenn alles gut bekommst ein A+
    Zuletzt geändert von yachti; 13.10.2017, 13:33.

    Einen Kommentar schreiben:


  • psilo
    antwortet
    yachti danke, ist angepasst

    Einen Kommentar schreiben:


  • yachti
    antwortet
    @psilo
    Code:
     ## # HSTS ##  add_header Strict-Transport-Security "max-age 31536000; includeSubDomains";
    bitte wie folgt ändern damit HSTS greift
    Code:
    add_header Strict-Transport-Security "max-age[COLOR=#FF0000]=[/COLOR]31536000; includeSubDomains" [COLOR=#FF0000]always[/COLOR];
    Gruß aus Franken Michael
    Zuletzt geändert von yachti; 12.10.2017, 22:42.

    Einen Kommentar schreiben:


  • yachti
    antwortet
    was genau geht nicht?
    Mit dem Ipad wird keine Verbindung zu SH hergestellt. Hab mit normal basic auth getestet. Nachdem ich die config.php auf Port 443 und die io_smarthome.py.js u. io_smarthome.py.min.js auf wss://.. geändert habe war es mit dem Ipad von intern und extern vorbei
    Wie gesagt mit Notebook funktioniert es einwandfrei.

    Einen Kommentar schreiben:

Lädt...
X