SSLLabs und TLS 1.3  [GELÖST]

Locked
trollolol
Posts: 144
Joined: Wed 18. Sep 2019, 10:18
Location: Eisenach

SSLLabs und TLS 1.3  [GELÖST]

Post by trollolol »

Hallo zusammen,

aktuell checke ich meine Domains mit SSLLabs. Da seit Januar der Support für TLS 1.1 und 1.2 nicht mehr unterstützt wird bekomme ich "nur" noch "B" Bewertung.

Aktuell unterstützt Keyhelp ja TLS Version 1.3 und bei SSLLabs nur experimentel. Gibt es diesbezüglich schon Änderung in Keyhelp oder muss ich das vorerst manuell lösen?

Liebe Grüße
Blackmoon
Posts: 345
Joined: Sat 1. Dec 2018, 16:42

Re: SSLLabs und TLS 1.3

Post by Blackmoon »

Moin,
Da seit Januar der Support für TLS 1.1 und 1.2 nicht mehr unterstützt wird bekomme ich "nur" noch "B" Bewertung.
TLS 1.0 und TLS 1.1 werden als Unsicher eingestuft. Supportet wird es noch von den verschiedenen Browsern.
Aktuell unterstützt Keyhelp ja TLS Version 1.3 und bei SSLLabs nur experimentel. Gibt es diesbezüglich schon Änderung in Keyhelp oder muss ich das vorerst manuell lösen?
TLS 1.3 ist Sache des Webservers und bzw. in Abhängigkeit von OpenSSL. D.h. kommt Debian 10 zum Einsatz ist TLS 1.3 problemlos möglich. Anders sieht es bei Ubuntu 18.04 LTS aus. Dort nach wie vor nur TLS 1.2

Grüße
trollolol
Posts: 144
Joined: Wed 18. Sep 2019, 10:18
Location: Eisenach

Re: SSLLabs und TLS 1.3

Post by trollolol »

Hallo zusammen,

ich würde hier noch einmal ansetzen:

Ich habe jetzt einen Testuser angelegt, dieser hat von mir eine Domain zugewiesen bekommen. Lets Encrypt Zertifikat wurde auch korrekt installiert und Testseite ist auch korrekt aufrufbar - somit für einen guten Test alle voraussetzungen erfüllt. Habe dann unter Domains -> Apache Einstellungen folgendes eingegeben:

Code: Select all

 SSLProtocol -ALL +TLSv1.2 +TLSv1.3
gespeichert und gewartet. Nachdem das Schraubenschlüsselsymbol als Haken markiert wurde habe ich einen SSL/TLS Protokoll Check gemacht und mir wurde noch TLS 1.0 und TLS 1.1 als aktiv angezeigt. Also das gleiche nochmal mit

Code: Select all

SSLProtocol +TLSv1.2
- gleiches Ergebnis.

Wird das bei den Apache-Anweisungen wirklich nur ganze einfach da reingeschrieben, oder müssen irgendwelche Besonderheiten beachtet werden? Oder was habe ich noch übersehen? Würde mich freuen wenn mir jemand helfen kann :)
User avatar
Martin
Posts: 984
Joined: Wed 20. Jan 2016, 00:43

Re: SSLLabs und TLS 1.3

Post by Martin »

Hallo,

Änderungen an der SSL Konfiguration können global in der /etc/apache2/mods-enabled/ssl.conf vorgenommen werden.
Viele Grüße,
Martin
trollolol
Posts: 144
Joined: Wed 18. Sep 2019, 10:18
Location: Eisenach

Re: SSLLabs und TLS 1.3

Post by trollolol »

Super :) Danke funktioniert einwandfrei :)

Warum geht bzw. funktioniert das nicht über die Apache-Anweisungen?
User avatar
stfn116
Posts: 306
Joined: Wed 9. Jan 2019, 11:43
Location: Bavaria

Re: SSLLabs und TLS 1.3

Post by stfn116 »

Martin wrote: Thu 13. Feb 2020, 14:09 Hallo,

Änderungen an der SSL Konfiguration können global in der /etc/apache2/mods-enabled/ssl.conf vorgenommen werden.

Code: Select all

    # The protocols to enable
    SSLProtocol             all -SSLv3 -SSLv2 -TLSv1 -TLSv1.1 -TLSv1.2
danach gibt es auch wieder eine A Bewertung!

danke!
:D Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner. :lol:
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: SSLLabs und TLS 1.3

Post by Florian »

Dass dies nicht über die "Zusätzlichen Apache-Anweisungen" funktioniert, liegt übrigens am SNI. Um für vhosts verschiende SSL-Einstellungen zu nutzen, müsste man verschiedene IPs nutzen.
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
stfn116
Posts: 306
Joined: Wed 9. Jan 2019, 11:43
Location: Bavaria

Re: SSLLabs und TLS 1.3

Post by stfn116 »

Ergänzend als Empfehlung von SSL Labs wären noch die Cipher-Suiten anzupassen. Ich habe mich für Sicherheit und gegen alte UserAgents bzw. alte Systeme entschieden:

Code: Select all

    SSLCipherSuite          ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:!ECDHE-RSA-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!DES-CBC3-SHA:!DSS
Attachments
ssl -labs
ssl -labs
:D Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner. :lol:
trollolol
Posts: 144
Joined: Wed 18. Sep 2019, 10:18
Location: Eisenach

Re: SSLLabs und TLS 1.3

Post by trollolol »

stfn116 wrote: Thu 13. Feb 2020, 15:24

Code: Select all

    # The protocols to enable
    SSLProtocol             all -SSLv3 -SSLv2 -TLSv1 -TLSv1.1 -TLSv1.2
danach gibt es auch wieder eine A Bewertung!

danke!
Nur A? Ich habe ohne Veränderung der Ciphers A+ - na ich werd mich da morgen mal dransetzen :)
Florian wrote: Thu 13. Feb 2020, 15:38 Dass dies nicht über die "Zusätzlichen Apache-Anweisungen" funktioniert, liegt übrigens am SNI. Um für vhosts verschiende SSL-Einstellungen zu nutzen, müsste man verschiedene IPs nutzen.
Danke für die Erklärung :)
User avatar
Martin
Posts: 984
Joined: Wed 20. Jan 2016, 00:43

Re: SSLLabs und TLS 1.3

Post by Martin »

Hallo,

A+ gibt es nur wenn man auch HSTS anmacht.
Viele Grüße,
Martin
User avatar
stfn116
Posts: 306
Joined: Wed 9. Jan 2019, 11:43
Location: Bavaria

Re: SSLLabs und TLS 1.3

Post by stfn116 »

Martin wrote: Fri 14. Feb 2020, 09:31 Hallo,

A+ gibt es nur wenn man auch HSTS anmacht.
Danke für den Hinweis. hab mich auch gewundert, warum bei einer Domain nur A als Rating war, obwohl HSTS aktiviert war.
Kleine Ergänzung.
Wenn der Wert kleiner als 180 Tage ist, gibt es nur ein A.

D.h. max-age=15552000 bringt A+
:D Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner. :lol:
Locked