Re: ssl 3.0 (nochmal ausführlicher)

To: Debian Mailingliste <debian-user-german@lists.debian.org>
Subject: Re: ssl 3.0 (nochmal ausführlicher)
From: Boris Andratzek <Boris.Andratzek@cation.de>
Date: Wed, 29 Nov 2006 21:44:38 +0100
Message-id: <[🔎] 456DF136.2010404@cation.de>
In-reply-to: <[🔎] 8uq044xutn.ln2@news.lan.robgri.de>
References: <[🔎] 455DC672.6050600@cation.de> <[🔎] 20061118015057.GC32199@sebastiankayser.de> <[🔎] 456D6D1C.6070809@cation.de> <[🔎] 8uq044xutn.ln2@news.lan.robgri.de>

Robert Grimm wrote:
> Boris Andratzek <Boris.Andratzek@cation.de> wrote:
> 
>>Wenn ich mit dem von Dir formulierten Kommando auf unseren Host losgehe,
>>bekomme ich dies:
> 
> 
>>10748:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake
>>failure:s3_pkt.c:534:
> 
> 
> Klar. Nochmal zum mitschreiben:
> 
> Mit 'SSLProtocol -all +SSLv2' verbietest Du alles bis auf SSLv2.
> Natürlich geht dann ein Handshake mit SSLv3 schief.

Moin Robert,

zunächst sorry, dass ich Deinen ersten Hinweis von vor ein paar Tagen
nicht kommentiert habe! In dem Zusammenhang auch gleich danke für den
Hinweis mit dem C-Sourcefile. Das war auch wirklich nur konzeptloses
Rumgesuche meinerseits....

Ich befürchte langsam, dass ich ein grundlegenderes Know-How-Defizit habe:
Ich habe eine unveränderte /etc/apache2/mods-available/ssl.conf und
einen entsprechenden Link in ~mods-enabled. Darin wird in der
SSLCipherSuite u.A. SSLv2 definiert. Die Definitionen darin gelten nach
meinem Verständnis global, oder?

Das Statement 'SSLProtocol -all +SSLv2' und die SSLCipherSuite steht in
den confs für die VHosts in sites-available/xy-host.conf:
# SSL-Konfiguration BEGIN
SSLEngine on
SSLProtocol -all +SSLv2
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
Diese Sachen sollten m.E. nur für den VHost xy-host gelten, oder?

Ich habe die Zeilen auch schonmal für einen VHost auskommentiert, was
zur Folge hat, dass sich dieser VHost trotzdem noch mit sslv2 ansprechen
lässt, weiterhin aber keineswegs mit sslv3.

Als nächstes lasse ich die Zeilen in xy-host.conf auskommentiert und
verändere die SSLCipherSuite in ssl.conf in
SSLCipherSuite
ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP:+eNULL
und füge hinzu
SSLProtocol +ALL

Bringt leider alles nichts. Irgendwie werden sämtliche Einträge nicht
ausgewertet. Selbst mit SSLProtocol +ALL -SSLv2 spricht der VHost mit
mir allglatt ssl2. Mit SSLProtocol -ALL +SSLv3 dito.

Was mache ich falsch???

Boris

PS: Den Apachen hatte ich immer restartet....

Reply to:

Follow-Ups:
- Re: ssl 3.0 (nochmal ausführlicher)
  - From: Robert Grimm <spam@robgri.de>

References:
- ssl 3.0
  - From: Boris Andratzek <Boris.Andratzek@cation.de>
- Re: ssl 3.0
  - From: Sebastian Kayser <mls+debian-user-german@skayser.de>
- Re: ssl 3.0
  - From: Boris Andratzek <Boris.Andratzek@cation.de>
- Re: ssl 3.0
  - From: Robert Grimm <spam@robgri.de>

Prev by Date: Re: BSD-debian?
Next by Date: OT: Serendipity oder Wordpress oder ...
Previous by thread: Re: ssl 3.0
Next by thread: Re: ssl 3.0 (nochmal ausführlicher)
Index(es):
- Date
- Thread