Einen Überblick über das Administrationstool KeyHelp der Keyweb AG und dessen Download gibt es auf https://www.keyhelp.de

Dieses Forum soll es interessierten Benutzern ermöglichen, sich über KeyHelp auszutauschen und Hilfe bei Problemen zu finden.

SSLLabs und TLS 1.3  [GELÖST]

Fragen zur Benutzung oder Konfiguration
Antworten
trollolol
Beiträge: 47
Registriert: Mi 18. Sep 2019, 10:18
Wohnort: Eisenach

SSLLabs und TLS 1.3  [GELÖST]

Beitrag von trollolol » Mo 10. Feb 2020, 12:46

Hallo zusammen,

aktuell checke ich meine Domains mit SSLLabs. Da seit Januar der Support für TLS 1.1 und 1.2 nicht mehr unterstützt wird bekomme ich "nur" noch "B" Bewertung.

Aktuell unterstützt Keyhelp ja TLS Version 1.3 und bei SSLLabs nur experimentel. Gibt es diesbezüglich schon Änderung in Keyhelp oder muss ich das vorerst manuell lösen?

Liebe Grüße
Blackmoon
Beiträge: 195
Registriert: Sa 1. Dez 2018, 16:42

Re: SSLLabs und TLS 1.3

Beitrag von Blackmoon » Mo 10. Feb 2020, 12:59

Moin,
Da seit Januar der Support für TLS 1.1 und 1.2 nicht mehr unterstützt wird bekomme ich "nur" noch "B" Bewertung.
TLS 1.0 und TLS 1.1 werden als Unsicher eingestuft. Supportet wird es noch von den verschiedenen Browsern.
Aktuell unterstützt Keyhelp ja TLS Version 1.3 und bei SSLLabs nur experimentel. Gibt es diesbezüglich schon Änderung in Keyhelp oder muss ich das vorerst manuell lösen?
TLS 1.3 ist Sache des Webservers und bzw. in Abhängigkeit von OpenSSL. D.h. kommt Debian 10 zum Einsatz ist TLS 1.3 problemlos möglich. Anders sieht es bei Ubuntu 18.04 LTS aus. Dort nach wie vor nur TLS 1.2

Grüße
trollolol
Beiträge: 47
Registriert: Mi 18. Sep 2019, 10:18
Wohnort: Eisenach

Re: SSLLabs und TLS 1.3

Beitrag von trollolol » Do 13. Feb 2020, 14:03

Hallo zusammen,

ich würde hier noch einmal ansetzen:

Ich habe jetzt einen Testuser angelegt, dieser hat von mir eine Domain zugewiesen bekommen. Lets Encrypt Zertifikat wurde auch korrekt installiert und Testseite ist auch korrekt aufrufbar - somit für einen guten Test alle voraussetzungen erfüllt. Habe dann unter Domains -> Apache Einstellungen folgendes eingegeben:

Code: Alles auswählen

 SSLProtocol -ALL +TLSv1.2 +TLSv1.3
gespeichert und gewartet. Nachdem das Schraubenschlüsselsymbol als Haken markiert wurde habe ich einen SSL/TLS Protokoll Check gemacht und mir wurde noch TLS 1.0 und TLS 1.1 als aktiv angezeigt. Also das gleiche nochmal mit

Code: Alles auswählen

SSLProtocol +TLSv1.2
- gleiches Ergebnis.

Wird das bei den Apache-Anweisungen wirklich nur ganze einfach da reingeschrieben, oder müssen irgendwelche Besonderheiten beachtet werden? Oder was habe ich noch übersehen? Würde mich freuen wenn mir jemand helfen kann :)
Benutzeravatar
Martin
Keyweb AG
Beiträge: 848
Registriert: Mi 20. Jan 2016, 00:43

Re: SSLLabs und TLS 1.3

Beitrag von Martin » Do 13. Feb 2020, 14:09

Hallo,

Änderungen an der SSL Konfiguration können global in der /etc/apache2/mods-enabled/ssl.conf vorgenommen werden.
Mit freundlichen Grüßen / Best regards
Martin Dannehl

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
trollolol
Beiträge: 47
Registriert: Mi 18. Sep 2019, 10:18
Wohnort: Eisenach

Re: SSLLabs und TLS 1.3

Beitrag von trollolol » Do 13. Feb 2020, 14:22

Super :) Danke funktioniert einwandfrei :)

Warum geht bzw. funktioniert das nicht über die Apache-Anweisungen?
Benutzeravatar
stfn116
Beiträge: 242
Registriert: Mi 9. Jan 2019, 11:43
Wohnort: Bavaria

Re: SSLLabs und TLS 1.3

Beitrag von stfn116 » Do 13. Feb 2020, 15:24

Martin hat geschrieben:
Do 13. Feb 2020, 14:09
Hallo,

Änderungen an der SSL Konfiguration können global in der /etc/apache2/mods-enabled/ssl.conf vorgenommen werden.

Code: Alles auswählen

    # The protocols to enable
    SSLProtocol             all -SSLv3 -SSLv2 -TLSv1 -TLSv1.1 -TLSv1.2
danach gibt es auch wieder eine A Bewertung!

danke!
:D Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner. :lol:
Benutzeravatar
Florian
Keyweb AG
Beiträge: 53
Registriert: Mi 20. Jan 2016, 02:28

Re: SSLLabs und TLS 1.3

Beitrag von Florian » Do 13. Feb 2020, 15:38

Dass dies nicht über die "Zusätzlichen Apache-Anweisungen" funktioniert, liegt übrigens am SNI. Um für vhosts verschiende SSL-Einstellungen zu nutzen, müsste man verschiedene IPs nutzen.
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Benutzeravatar
stfn116
Beiträge: 242
Registriert: Mi 9. Jan 2019, 11:43
Wohnort: Bavaria

Re: SSLLabs und TLS 1.3

Beitrag von stfn116 » Do 13. Feb 2020, 16:24

Ergänzend als Empfehlung von SSL Labs wären noch die Cipher-Suiten anzupassen. Ich habe mich für Sicherheit und gegen alte UserAgents bzw. alte Systeme entschieden:

Code: Alles auswählen

    SSLCipherSuite          ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:!ECDHE-RSA-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!DES-CBC3-SHA:!DSS
Dateianhänge
handshake_tls.png
ssl -labs
:D Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner. :lol:
trollolol
Beiträge: 47
Registriert: Mi 18. Sep 2019, 10:18
Wohnort: Eisenach

Re: SSLLabs und TLS 1.3

Beitrag von trollolol » Do 13. Feb 2020, 19:03

stfn116 hat geschrieben:
Do 13. Feb 2020, 15:24

Code: Alles auswählen

    # The protocols to enable
    SSLProtocol             all -SSLv3 -SSLv2 -TLSv1 -TLSv1.1 -TLSv1.2
danach gibt es auch wieder eine A Bewertung!

danke!
Nur A? Ich habe ohne Veränderung der Ciphers A+ - na ich werd mich da morgen mal dransetzen :)
Florian hat geschrieben:
Do 13. Feb 2020, 15:38
Dass dies nicht über die "Zusätzlichen Apache-Anweisungen" funktioniert, liegt übrigens am SNI. Um für vhosts verschiende SSL-Einstellungen zu nutzen, müsste man verschiedene IPs nutzen.
Danke für die Erklärung :)
Benutzeravatar
Martin
Keyweb AG
Beiträge: 848
Registriert: Mi 20. Jan 2016, 00:43

Re: SSLLabs und TLS 1.3

Beitrag von Martin » Fr 14. Feb 2020, 09:31

Hallo,

A+ gibt es nur wenn man auch HSTS anmacht.
Mit freundlichen Grüßen / Best regards
Martin Dannehl

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Benutzeravatar
stfn116
Beiträge: 242
Registriert: Mi 9. Jan 2019, 11:43
Wohnort: Bavaria

Re: SSLLabs und TLS 1.3

Beitrag von stfn116 » Fr 14. Feb 2020, 10:19

Martin hat geschrieben:
Fr 14. Feb 2020, 09:31
Hallo,

A+ gibt es nur wenn man auch HSTS anmacht.
Danke für den Hinweis. hab mich auch gewundert, warum bei einer Domain nur A als Rating war, obwohl HSTS aktiviert war.
Kleine Ergänzung.
Wenn der Wert kleiner als 180 Tage ist, gibt es nur ein A.

D.h. max-age=15552000 bringt A+
:D Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner. :lol:
Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 4 Gäste