Ankündigung

**psilo** · 13.10.2017, 15:14

ratzi82 hmm mein Link oben hat mir gesagt, dass ich zur Lösung meines Problems mit "openssl dhparam -out dhparam.pem 4096" erstmal ein neues PEM File generieren muss.. das rattert jetzt seit 30 Minuten...

Ich nehme Deinen Link aber mal für versiertere Nutzer auf

**malte** · 13.10.2017, 15:18

yachti heißt das, mit den Änderungen im Post 101 klappt es jetzt auch mit iOS?

**psilo** · 14.10.2017, 07:38

Das "openssl dhparam -out dhparam.pem 4096" generiert überigens immer noch seit gestern...
https://security.stackexchange.com/q...after-24-hours

**yachti** · 14.10.2017, 08:22

psilo

darf ich fragen ob du das mit den clientzertifikaten auch nachgestellt hast?

Nein, Clientzertifikate mache ich erwst wenn es eine Lösung für IOS gibt

habe übrigens nur ein B wegen irgendwelchem Diffie-Hellman Kram .. was hast Du dagegen gemacht? Hier habe ich was dazu gefunden

Ich habe ein A+
in der nginx.conf

Code:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # drop SSLv3 (POODLE vulnerability)
ssl_ciphers EECDH+AESGCM:EDH+AESGCM:EECDH:EDH:!MD5:!RC4:!LOW:!MEDIUM:!CAMELLIA:!ECDSA:!DES:!DSS:!3DES:!NULL;

ssl_prefer_server_ciphers on;

virtualHost.conf

Code:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Frame-Options DENY;

also nichts spezielles. Ich benutze den Reverse Proxy auch für owa und activesync zum Exchange hatte da schon das A+

malte

heißt das, mit den Änderungen im Post 101 klappt es jetzt auch mit iOS?

Das hat auf die IOS Funktion keine Auswirkung. Solange es für IOS keine Lösung gibt nutze ich den Proxy nicht für die SV.

**psilo** · 14.10.2017, 10:12

yachti seltsam, auch nach deinen Änderungen kriege ich nur B, wegen der Diffie-Hellman Sache. Auf welchem Linux läuft Deiner? Das File generiert immer noch, laut Netz kann das 24 Stunden dauern. Danach sollte ich auch A haben.

**yachti** · 14.10.2017, 11:00

Zitat von psilo Beitrag anzeigen

Auf welchem Linux läuft Deiner?

Debian Jessie 8.1
nginx version: nginx/1.12.1
OpenSSL 1.0.1t

ich nur B, wegen der Diffie-Hellman Sache

Sehr seltsam. Ich nutze die openssl Standardeinstellung für DH im nginx . Ich glaube da sind die keys nur 1024 bit

Angehängte Dateien

sslab.PNG (25,6 KB, 10x aufgerufen)

**yachti** · 14.10.2017, 11:29

Hier mal die Protokoll Details aus SSL Labs

Protocol Details

DROWN

No, server keys and hostname not seen elsewhere with SSLv2

(1) For a better understanding of this test, please read this longer explanation
(2) Key usage data kindly provided by the Censys network search engine; original DROWN website here
(3) Censys data is only indicative of possible key and certificate reuse; possibly out-of-date and not complete

Secure Renegotiation

Supported

Secure Client-Initiated Renegotiation

No

Insecure Client-Initiated Renegotiation

No

BEAST attack

Mitigated server-side (more info)

POODLE (SSLv3)

No, SSL 3 not supported (more info)

POODLE (TLS)

No (more info)

Downgrade attack prevention

Yes, TLS_FALLBACK_SCSV supported (more info)

SSL/TLS compression

No

RC4

No

Heartbeat (extension)

Yes

Heartbleed (vulnerability)

No (more info)

Ticketbleed (vulnerability)

No (more info)

OpenSSL CCS vuln. (CVE-2014-0224)

No (more info)

OpenSSL Padding Oracle vuln.
(CVE-2016-2107)

No (more info)

Forward Secrecy

Yes (with most browsers) ROBUST (more info)

ALPN

No

NPN

Yes http/1.1

Session resumption (caching)

Yes

Session resumption (tickets)

Yes

OCSP stapling

Yes

Strict Transport Security (HSTS)

Yes
max-age=31536000; includeSubdomains

HSTS Preloading

Not in: Chrome Edge Firefox IE

Public Key Pinning (HPKP)

No (more info)

Public Key Pinning Report-Only

No

Public Key Pinning (Static)

No (more info)

Long handshake intolerance

No

TLS extension intolerance

No

TLS version intolerance

No

Incorrect SNI alerts

No

Uses common DH primes

No, DHE suites not supported

DH public server param (Ys) reuse

No, DHE suites not supported

ECDH public server param reuse

No

Supported Named Groups

secp384r1

SSL 2 handshake compatibility

Yes

**psilo** · 14.10.2017, 11:50

Wie hast Du hier ein NO hinbekommen?

Uses common DH primes

Yes Replace with custom DH parameters if possible (more info)

**yachti** · 14.10.2017, 12:07

Zitat von psilo Beitrag anzeigen

Wie hast Du hier ein NO hinbekommen?

Ich denke weil ich den Standard verwende. Ich generiere auch gerade den 4096 bit Schlüssel für DH mal schaun wie lange es bei mir dauert.

Kommentiere das bitte mal aus:

Code:

#    ssl_dhparam ssl/dhparam.pem;

dann sollte der openssl Standard für nginx greifen

**psilo** · 14.10.2017, 12:14

Ich hab das aktuell ja noch nicht mal drin ,-)

**yachti** · 14.10.2017, 12:18

Zitat von psilo Beitrag anzeigen

Ich hab das aktuell ja noch nicht mal drin ,-)

ich ja auch nicht ;-)
welche openssl Version hast Du denn?
Ältere Versionen haben den DH key glaube mit 512 bit und der ermöglicht den Logjam exploit

**psilo** · 14.10.2017, 12:24

$ openssl version
OpenSSL 1.1.0f 25 May 2017

War ja ne brandneue Stretch Installation

**yachti** · 14.10.2017, 12:33

dann weiss ich auch nicht warum. Also mal abwarten bis der DH key erzeugt ist. Meiner generiert jetzt seit ca. 1 Stunde.

Habe bei der Gelegenheit meine SSL Konfiguration weiter gehärtet. Ich muss für meinen Reverse Proxy ja keine Rücksicht auf alle möglichen TLS Versionen und Webbrowser nehmen wie bei meinen Webservern. Der RProxy wird ja nur innerhalb der Family benutzt für OWA und von Amazon CWS für Alexa zum spielen ;-) Vielleicht ja auch irgendwann in weiter Ferne für die Visu

Wenn ich den neuen Schlüssel eingebunden und getestet habe poste ich mal die ganze Config.

**psilo** · 14.10.2017, 15:41

Meiner generiert immer noch...

**yachti** · 14.10.2017, 18:05

meiner ist fertig
ca. 6 Stunden gebraucht aber jetzt das ganze nochmal hatte einen verschreiber

Ankündigung

Reverse Proxy

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar