Deaktivieren Sie schwache SSL-Verschlüsselungen in lighttpd

6066
arantius

Das Testtool https://www.ssllabs.com/ssltest/index.html sagt mir, dass mein Server Folgendes anbietet:

SSL_RSA_WITH_DES_CBC_SHA (0x9) WEAK 56
SSL_DHE_RSA_WITH_DES_CBC_SHA (0x15) DH 1024 Bits (p: 128, g: 128, Ys: 128) FS WEAK 56
RC4 Ja NICHT DESIRABLE

Zumindest diese beiden schwachen Chiffren. Ich möchte nur starke Chiffren unterstützen. Ich habe versucht zu spezifizieren

ssl.cipher-list = "HIGH:MEDIUM:!ADH"

Das hat aber nicht geholfen. Wie kann ich lighthttpd anweisen, keine schwachen Verschlüsselungen für SSL zu verwenden?

Wenn ich auch gleichzeitig "Forward Secrecy (Experimental) No NOT DESIRABLE" ansprechen kann, ist das super.

2

2 Antworten auf die Frage

4
Andy

Schließlich ist hier die ultimative "geheime Sauce":

Bestehen Sie den SSL Labs-Test auf Lighttpd (Verringern Sie die Angriffe CRIME und BEAST, deaktivieren Sie SSLv2 und aktivieren Sie die Funktion "Perfect Forward Secrecy").

Bitte lesen Sie den Link für konkrete Konfigurationsanweisungen.

Willkommen bei SuperUser! Könnten Sie bitte die relevanten Details aus dem Link Ihrem Beitrag hinzufügen? Dies hilft der Website, "Link Rot" langfristig zu vermeiden: http://superuser.com/questions/how-to-answer Excellll vor 10 Jahren 1
Aus dem obigen Beitrag: `ssl.cipher-list =" AES256 + EECDH: AES256 + EDH:! ANULL:! ENULL "` jmuc vor 9 Jahren 0
3
Andy

Ein allgemeiner Ansatz / Tutorial zum Erstellen der richtigen Chiffriersuite-Konfiguration finden Sie hier: http://www.skytale.net/blog/archives/22-SSL-cipher-setting.html

Der Autor schien jedoch nicht auf die Implementierung von DHE-Chiffriersätzen zu achten. Sie benötigen diese DHE-Verschlüsselungscodes, um Forward Secrecy (FS) für Ihre SSL-Verbindung zuzulassen.

Eine fertige Chiffre-Suite-Konfiguration mit DHE finden Sie hier. Anscheinend wurde diese Konfiguration auch für einige Browser- und Betriebssystem-Setups getestet: https://github.com/pfsense/pfsense/pull/683

PS: Bitte beachten Sie, dass die Nachricht "Forward Secrecy (Experimental) No NOT DESIRABLE" von SSLlabs scheinbar erscheint, egal ob FS mit Ihrer Verbindung funktioniert oder nicht, also stören Sie sich nicht zu sehr mit dieser Nachricht.

Die geheime Soße, die ein paar Links entfernt war, war: ssl.honor-cipher-order = "enable" ssl.cipher-list = "ECDHE-RSA-AES256-SHA384: AES256-SHA256: RC4-SHA: RC4: HIGH:! MD5: ! aNULL:! EDH:! AESGCM " arantius vor 10 Jahren 0

Verwandte Probleme