heartbleed - ceho vseho se vlastne tyka

Miroslav Lachman 000.fbsd at quip.cz
Sat Apr 12 17:41:25 CEST 2014


Dan Lukes wrote:
>> B grade ma kvuli Forward Secrecy, kdyz jsem testy delal posledne, tak
>> mel jeste A.
>
> Pridej do konfigurace od Apache
>
> SSLHonorCipherOrder on

To tam mam a stejne tam Forward Secrecy support neni

> a forward-secrecy zacne byt dostupna i pro ten i pro Internet Explorer,
> co s tim ma bez toho problemy.
>
> Ja jsem celkove spokojen s timhle:
>> SSLProtocol -ALL +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2
>> SSLCipherSuite HIGH:!ADH:!EXPORT56:!aNULL
>> SSLCompression off
>> SSLHonorCipherOrder on

Ja pred casem doslel k nasledujicimu nastaveni, ale jak uz jsem psal 
vyse, Forward Secrecy tam neni a ssllabs dava B grade.

## PCI Compliance - Disable SSLv2 and Weak Ciphers
##
## http://blog.zenone.org/2009/03/pci-compliance-disable-sslv2-and-weak.html
## https://www.ssllabs.com/ssldb/analyze.html
SSLProtocol all -SSLv2
## the following two lines results in the same supported ciphers
#SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:!LOW:!EXP:!eNULL
SSLCipherSuite RC4-SHA:RC4-MD5:HIGH:!ADH
SSLHonorCipherOrder on

Myslim, ze k tomu uprednostneni RC4 vedly jeste nejake vykonnostni 
testy. Ale uz si to presne nepamatuju.

Kdyz na to zbude trochu casu, tak zkusim to tvoje poradi Cipher Suite

Mirek


More information about the Users-l mailing list