KeyHelp Community

Das offizielle KeyHelp Forum der Keyweb AG / The official KeyHelp forum of Keyweb AG
https://community.keyhelp.de/

SSLLabs und TLS 1.3

https://community.keyhelp.de/viewtopic.php?t=9111

Page 1 of 1

SSLLabs und TLS 1.3  [GELÖST]

Posted: Mon 10. Feb 2020, 12:46
by trollolol
Hallo zusammen,

aktuell checke ich meine Domains mit SSLLabs. Da seit Januar der Support für TLS 1.1 und 1.2 nicht mehr unterstützt wird bekomme ich "nur" noch "B" Bewertung.

Aktuell unterstützt Keyhelp ja TLS Version 1.3 und bei SSLLabs nur experimentel. Gibt es diesbezüglich schon Änderung in Keyhelp oder muss ich das vorerst manuell lösen?

Liebe Grüße

Re: SSLLabs und TLS 1.3

Posted: Mon 10. Feb 2020, 12:59
by Blackmoon
Moin,
Da seit Januar der Support für TLS 1.1 und 1.2 nicht mehr unterstützt wird bekomme ich "nur" noch "B" Bewertung.
TLS 1.0 und TLS 1.1 werden als Unsicher eingestuft. Supportet wird es noch von den verschiedenen Browsern.
Aktuell unterstützt Keyhelp ja TLS Version 1.3 und bei SSLLabs nur experimentel. Gibt es diesbezüglich schon Änderung in Keyhelp oder muss ich das vorerst manuell lösen?
TLS 1.3 ist Sache des Webservers und bzw. in Abhängigkeit von OpenSSL. D.h. kommt Debian 10 zum Einsatz ist TLS 1.3 problemlos möglich. Anders sieht es bei Ubuntu 18.04 LTS aus. Dort nach wie vor nur TLS 1.2

Grüße

Re: SSLLabs und TLS 1.3

Posted: Thu 13. Feb 2020, 14:03
by trollolol
Hallo zusammen,

ich würde hier noch einmal ansetzen:

Ich habe jetzt einen Testuser angelegt, dieser hat von mir eine Domain zugewiesen bekommen. Lets Encrypt Zertifikat wurde auch korrekt installiert und Testseite ist auch korrekt aufrufbar - somit für einen guten Test alle voraussetzungen erfüllt. Habe dann unter Domains -> Apache Einstellungen folgendes eingegeben:

Code: Select all

 SSLProtocol -ALL +TLSv1.2 +TLSv1.3
gespeichert und gewartet. Nachdem das Schraubenschlüsselsymbol als Haken markiert wurde habe ich einen SSL/TLS Protokoll Check gemacht und mir wurde noch TLS 1.0 und TLS 1.1 als aktiv angezeigt. Also das gleiche nochmal mit

Code: Select all

SSLProtocol +TLSv1.2
- gleiches Ergebnis.

Wird das bei den Apache-Anweisungen wirklich nur ganze einfach da reingeschrieben, oder müssen irgendwelche Besonderheiten beachtet werden? Oder was habe ich noch übersehen? Würde mich freuen wenn mir jemand helfen kann :)

Re: SSLLabs und TLS 1.3

Posted: Thu 13. Feb 2020, 14:09
by Martin
Hallo,

Änderungen an der SSL Konfiguration können global in der /etc/apache2/mods-enabled/ssl.conf vorgenommen werden.

Re: SSLLabs und TLS 1.3

Posted: Thu 13. Feb 2020, 14:22
by trollolol
Super :) Danke funktioniert einwandfrei :)

Warum geht bzw. funktioniert das nicht über die Apache-Anweisungen?

Re: SSLLabs und TLS 1.3

Posted: Thu 13. Feb 2020, 15:24
by stfn116
Martin wrote: Thu 13. Feb 2020, 14:09 Hallo,

Änderungen an der SSL Konfiguration können global in der /etc/apache2/mods-enabled/ssl.conf vorgenommen werden.

Code: Select all

    # The protocols to enable
    SSLProtocol             all -SSLv3 -SSLv2 -TLSv1 -TLSv1.1 -TLSv1.2
danach gibt es auch wieder eine A Bewertung!

danke!

Re: SSLLabs und TLS 1.3

Posted: Thu 13. Feb 2020, 15:38
by Florian
Dass dies nicht über die "Zusätzlichen Apache-Anweisungen" funktioniert, liegt übrigens am SNI. Um für vhosts verschiende SSL-Einstellungen zu nutzen, müsste man verschiedene IPs nutzen.

Re: SSLLabs und TLS 1.3

Posted: Thu 13. Feb 2020, 16:24
by stfn116
Ergänzend als Empfehlung von SSL Labs wären noch die Cipher-Suiten anzupassen. Ich habe mich für Sicherheit und gegen alte UserAgents bzw. alte Systeme entschieden:

Code: Select all

    SSLCipherSuite          ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:!ECDHE-RSA-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!DES-CBC3-SHA:!DSS

Re: SSLLabs und TLS 1.3

Posted: Thu 13. Feb 2020, 19:03
by trollolol
stfn116 wrote: Thu 13. Feb 2020, 15:24

Code: Select all

    # The protocols to enable
    SSLProtocol             all -SSLv3 -SSLv2 -TLSv1 -TLSv1.1 -TLSv1.2
danach gibt es auch wieder eine A Bewertung!

danke!
Nur A? Ich habe ohne Veränderung der Ciphers A+ - na ich werd mich da morgen mal dransetzen :)
Florian wrote: Thu 13. Feb 2020, 15:38 Dass dies nicht über die "Zusätzlichen Apache-Anweisungen" funktioniert, liegt übrigens am SNI. Um für vhosts verschiende SSL-Einstellungen zu nutzen, müsste man verschiedene IPs nutzen.
Danke für die Erklärung :)

Re: SSLLabs und TLS 1.3

Posted: Fri 14. Feb 2020, 09:31
by Martin
Hallo,

A+ gibt es nur wenn man auch HSTS anmacht.

Re: SSLLabs und TLS 1.3

Posted: Fri 14. Feb 2020, 10:19
by stfn116
Martin wrote: Fri 14. Feb 2020, 09:31 Hallo,

A+ gibt es nur wenn man auch HSTS anmacht.
Danke für den Hinweis. hab mich auch gewundert, warum bei einer Domain nur A als Rating war, obwohl HSTS aktiviert war.
Kleine Ergänzung.
Wenn der Wert kleiner als 180 Tage ist, gibt es nur ein A.

D.h. max-age=15552000 bringt A+
All times are UTC+02:00
Page 1 of 1

Powered by phpBB® Forum Software © phpBB Limited