[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Veilige TLS op webserver (Apache)

Hoi,

Tot mijn schrik sta ik niet meer op 100% bij
https://internet.nl/site/vandervlis.nl/

Het probleem zit hem vooral in de "key exchange parameters" voor
Diffie-Hellman, het is me niet erg duidelijk hoe ik die instel. Heeft
iemand hier dat misschien uitgezocht?

Waar ik ook moeite mee heb is OCSP stapling. Als ik dat aanzet, dan
stopt Apache er spontaan mee. Zelfs bij een "reload"!

Met Dane ben ik bezig, het lastige is de combinatie met Let's encrypt
certificaten.

Dit is wat ik nu gebruik. Voor de duidelijkheid heb ik na elke regel een
witte regel gemaakt. Sommige regels zijn dus erg lang.
-------------
SSLEngine on

SSLProtocol             TLSv1.3 TLSv1.2

SSLCipherSuite
ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA

SSLCipherSuite      TLSv1.3
TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256

SSLHonorCipherOrder     on

SSLCompression          off

SSLOptions +StrictRequire
----------

Dit meldt een aantal onveilige cipher suites:
https://www.ssllabs.com/ssltest/analyze.html?d=vandervlis.nl&s=91.198.178.59

Groeten,
Paul






-- 
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/
Reply to: