SSLLabs und TLS 1.3 [GELÖST]
SSLLabs und TLS 1.3 [GELÖST]
Hallo zusammen,
aktuell checke ich meine Domains mit SSLLabs. Da seit Januar der Support für TLS 1.1 und 1.2 nicht mehr unterstützt wird bekomme ich "nur" noch "B" Bewertung.
Aktuell unterstützt Keyhelp ja TLS Version 1.3 und bei SSLLabs nur experimentel. Gibt es diesbezüglich schon Änderung in Keyhelp oder muss ich das vorerst manuell lösen?
Liebe Grüße
aktuell checke ich meine Domains mit SSLLabs. Da seit Januar der Support für TLS 1.1 und 1.2 nicht mehr unterstützt wird bekomme ich "nur" noch "B" Bewertung.
Aktuell unterstützt Keyhelp ja TLS Version 1.3 und bei SSLLabs nur experimentel. Gibt es diesbezüglich schon Änderung in Keyhelp oder muss ich das vorerst manuell lösen?
Liebe Grüße
Re: SSLLabs und TLS 1.3
Moin,
Grüße
TLS 1.0 und TLS 1.1 werden als Unsicher eingestuft. Supportet wird es noch von den verschiedenen Browsern.Da seit Januar der Support für TLS 1.1 und 1.2 nicht mehr unterstützt wird bekomme ich "nur" noch "B" Bewertung.
TLS 1.3 ist Sache des Webservers und bzw. in Abhängigkeit von OpenSSL. D.h. kommt Debian 10 zum Einsatz ist TLS 1.3 problemlos möglich. Anders sieht es bei Ubuntu 18.04 LTS aus. Dort nach wie vor nur TLS 1.2Aktuell unterstützt Keyhelp ja TLS Version 1.3 und bei SSLLabs nur experimentel. Gibt es diesbezüglich schon Änderung in Keyhelp oder muss ich das vorerst manuell lösen?
Grüße
Re: SSLLabs und TLS 1.3
Hallo zusammen,
ich würde hier noch einmal ansetzen:
Ich habe jetzt einen Testuser angelegt, dieser hat von mir eine Domain zugewiesen bekommen. Lets Encrypt Zertifikat wurde auch korrekt installiert und Testseite ist auch korrekt aufrufbar - somit für einen guten Test alle voraussetzungen erfüllt. Habe dann unter Domains -> Apache Einstellungen folgendes eingegeben:
gespeichert und gewartet. Nachdem das Schraubenschlüsselsymbol als Haken markiert wurde habe ich einen SSL/TLS Protokoll Check gemacht und mir wurde noch TLS 1.0 und TLS 1.1 als aktiv angezeigt. Also das gleiche nochmal mit - gleiches Ergebnis.
Wird das bei den Apache-Anweisungen wirklich nur ganze einfach da reingeschrieben, oder müssen irgendwelche Besonderheiten beachtet werden? Oder was habe ich noch übersehen? Würde mich freuen wenn mir jemand helfen kann
ich würde hier noch einmal ansetzen:
Ich habe jetzt einen Testuser angelegt, dieser hat von mir eine Domain zugewiesen bekommen. Lets Encrypt Zertifikat wurde auch korrekt installiert und Testseite ist auch korrekt aufrufbar - somit für einen guten Test alle voraussetzungen erfüllt. Habe dann unter Domains -> Apache Einstellungen folgendes eingegeben:
Code: Select all
SSLProtocol -ALL +TLSv1.2 +TLSv1.3
Code: Select all
SSLProtocol +TLSv1.2
Wird das bei den Apache-Anweisungen wirklich nur ganze einfach da reingeschrieben, oder müssen irgendwelche Besonderheiten beachtet werden? Oder was habe ich noch übersehen? Würde mich freuen wenn mir jemand helfen kann
Re: SSLLabs und TLS 1.3
Hallo,
Änderungen an der SSL Konfiguration können global in der /etc/apache2/mods-enabled/ssl.conf vorgenommen werden.
Änderungen an der SSL Konfiguration können global in der /etc/apache2/mods-enabled/ssl.conf vorgenommen werden.
Viele Grüße,
Martin
Martin
Re: SSLLabs und TLS 1.3
Super Danke funktioniert einwandfrei
Warum geht bzw. funktioniert das nicht über die Apache-Anweisungen?
Warum geht bzw. funktioniert das nicht über die Apache-Anweisungen?
Re: SSLLabs und TLS 1.3
Code: Select all
# The protocols to enable
SSLProtocol all -SSLv3 -SSLv2 -TLSv1 -TLSv1.1 -TLSv1.2
danke!
Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner.
Re: SSLLabs und TLS 1.3
Dass dies nicht über die "Zusätzlichen Apache-Anweisungen" funktioniert, liegt übrigens am SNI. Um für vhosts verschiende SSL-Einstellungen zu nutzen, müsste man verschiedene IPs nutzen.
Mit freundlichen Grüßen / Best regards
Florian Cheno
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Florian Cheno
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: SSLLabs und TLS 1.3
Ergänzend als Empfehlung von SSL Labs wären noch die Cipher-Suiten anzupassen. Ich habe mich für Sicherheit und gegen alte UserAgents bzw. alte Systeme entschieden:
Code: Select all
SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:!ECDHE-RSA-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!DES-CBC3-SHA:!DSS
Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner.
Re: SSLLabs und TLS 1.3
Nur A? Ich habe ohne Veränderung der Ciphers A+ - na ich werd mich da morgen mal dransetzenstfn116 wrote: ↑Thu 13. Feb 2020, 15:24danach gibt es auch wieder eine A Bewertung!Code: Select all
# The protocols to enable SSLProtocol all -SSLv3 -SSLv2 -TLSv1 -TLSv1.1 -TLSv1.2
danke!
Danke für die Erklärung
Re: SSLLabs und TLS 1.3
Danke für den Hinweis. hab mich auch gewundert, warum bei einer Domain nur A als Rating war, obwohl HSTS aktiviert war.
Kleine Ergänzung.
Wenn der Wert kleiner als 180 Tage ist, gibt es nur ein A.
D.h. max-age=15552000 bringt A+
Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner.