Archive

Kategorien

HTTPS Zugriff auf den Webserver

5. April 2014
Ich habe den Proxy für den Zugriff auf meine Webseiten ersetzt. Zuvor lief ein nginx als Proxy-Server. Leider konnte ich mit dem nicht vollständig auf PFS (Perfect Forward Security) bei HTTPS setzen. Einige weit verbreitete Browser (z.B. Internet Explorer) waren nicht zu PFS zu überreden. Leider war es auch keine Option den Apache zu verwenden, zumindest bei Debian aus den Paketverwaltungen. Da mit der 2.2 Version die wirklich starken Ciphren nicht unterstützt werden.

Also den Apache 2.4 auf einem FreeBSD aus den Quellen gebaut und als SSL-Proxy konfiguriert. Jetzt wird PFS bei allen aktuellen Browsern unterstüzt.
Als Fallback für Internet-Explorer unter Windows XP wird noch RC4 angeboten.
Java-Anwendungen mit Java 6 können sich nicht mehr verbinden. Das könnte behoben werden indem man die DH-Parameter auf 1024bit setzt. Das senkt aber die Stärke der Verschlüsselung, drum mache ich das nicht.
Auch RC4 für Explorer unter Windows XP werde ich bald entfernen. Microsoft stellt den Support für XP bald endgültig ein und danach fliegt der RC4-Support bei meinem Webserver 🙂

Einen sehr umfangreichen SSL-Check gibt es bei ssllabs.com

3 comments to HTTPS Zugriff auf den Webserver

  • Tobi

    Nachdem der Apache 2.4 auf dem FreeBSD wirklich gut läuft, habe ich den Häuptling nun auch direkt auf dem Webserver (Debian) als Proxy gebaut. Hat den Vorteil, dass ich den Backend-Server via localhost erreichen kann 🙂
    SSLv3 ist aus der Konfiguration geflogen. Damit ist die IE6 unter Windows XP draussen. RC4 als Fallback für den IE8 unter XP ist aber noch geblieben. Als Nebeneffekt ist auch noch der Yandex Search Bot rausgeflogen

  • Tobi

    RC4 ist ebenfalls rausgeflogen nachdem Microsoft den Support für XP endgültig eingestellt hat.
    Nun sind nur noch PFS Verbindungen möglich was aber alle halbwegs aktuellen Browser unterstützen sollten

  • Tobi

    brain-force.ch und alle meine Webhosts unterstützen nun DANE. Das sind DNS Records, welche dem Client ermöglichen das Zertifikat gegen einen Hash Wert zu validieren. Das verhindert, dass sich meine CA selber ein gültiges Zertifikat auf meine(n) Hostnamen ausstellen könnte, ohne dass es ein Client bemerken könnte. Natürlich würde das eine CA nicht machen, aber ihre privaten Schlüssel könnten kompromittiert werden. Damit könnte ein Angreifer gültige und vertrauenswürdige Zertifikate generieren. Mit DANE kann ein Client das bemerken und die Verbindung beenden, bevor schützenswerte Daten übermittelt worden sind.

Leave a Reply

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre lang="" line="" escaped="" cssfile="">

  

  

  

five × two =

This site uses Akismet to reduce spam. Learn how your comment data is processed.