Re: Veilige TLS op webserver (Apache)

To: debian-user-dutch@lists.debian.org
Subject: Re: Veilige TLS op webserver (Apache)
From: Winfried Tilanus <winfried@tilanus.com>
Date: Mon, 9 Mar 2020 12:51:57 +0100
Message-id: <[🔎] ff7bb5cc-48d7-4be0-71c6-3e5610381f15@tilanus.com>
In-reply-to: <[🔎] 3f71c21c-d1ce-71ce-7e00-5faff2b293f0@vandervlis.nl>
References: <[🔎] 3f71c21c-d1ce-71ce-7e00-5faff2b293f0@vandervlis.nl>

On 3/9/20 12:03 PM, Paul van der Vlis wrote:

Hoi,

> Tot mijn schrik sta ik niet meer op 100% bij
> https://internet.nl/site/vandervlis.nl/

100% bij internet.nl of een A+ bij SSLlabs is voor fetisjisten. :-D

> Het probleem zit hem vooral in de "key exchange parameters" voor
> Diffie-Hellman, het is me niet erg duidelijk hoe ik die instel. Heeft
> iemand hier dat misschien uitgezocht?

Het is al even geleden dat ik exact heb zitten uitzoeken, maar hier is
het resultaat van die exercitie. De tweede configuratie scoort 100% op
internet.nl, maar krijgt wel een melding over de volgorde van aanbieden
van ciphers.

SSLProtocol -ALL +TLSv1.2

# SSLLabs 100% on cipher, but loosing android 5/6, safaru 6/7/8 on IOS
# and some firefox on windows 7:
# SSLCipherSuite
# ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384

# SSLLabs 90% on cipher, getting everyting that does TLS1.2,
# all forward secrecy:
SSLCipherSuite
ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

# SSLLabs 90% on cipher with TLS1.0-1.2, not all forward secrecy
# SSLCipherSuite
# ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!RC4:!3DES:+HIGH:+MEDIUM

> Waar ik ook moeite mee heb is OCSP stapling. Als ik dat aanzet, dan
> stopt Apache er spontaan mee. Zelfs bij een "reload"!

Uit mijn ssl.conf:

SSLUseStapling on
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_staple_cache(512000)

Raar genoeg heb ik er nooit problemen mee gehad, ik was zelfs vergeten
dat ik het aangezet had...

> Met Dane ben ik bezig, het lastige is de combinatie met Let's encrypt
> certificaten.

Voor mijn beeld: waar loop jij tegenaan? Ik gebruik zelf geen Let's
encrypt tot nu alleen voor een paar test sites. (Alhoewel ik nu een
productie site aan het opzetten ben met Let's encrypt). Let's encrypt
met Dane lijkt me lastig te automatiseren...

groet,

Winfried

-- 
privacy strategist & privacy architect
+31.6.23303960
https://www.tilanus.com/

Reply to:

Follow-Ups:
- Re: Veilige TLS op webserver (Apache)
  - From: Paul van der Vlis <paul@vandervlis.nl>

References:
- Veilige TLS op webserver (Apache)
  - From: Paul van der Vlis <paul@vandervlis.nl>

Prev by Date: Veilige TLS op webserver (Apache)
Next by Date: Re: Veilige TLS op webserver (Apache)
Previous by thread: Veilige TLS op webserver (Apache)
Next by thread: Re: Veilige TLS op webserver (Apache)
Index(es):
- Date
- Thread