Perfect Forward Secrecy - Synology DS?

[drago]

Hi,

ich bekomme zwei Fehler, wenn ich dein Code verwende.

 

[Buntbaer2001]

Das ist kein Fehler, das ist Absicht.

ICH möchte keinen User mit Windows XP mehr auf meiner Synology...

Gruß
Peter

 

[Frogman]

Das ist kein Fehler, das ist Absicht.

ICH möchte keinen User mit Windows XP mehr auf meiner Synology...

Die Verwirrung hast Du wohl mit Deiner Äußerung gestiftet, Du bekämst mit Deiner Einstellung "jetzt mit ALLEN von SSLLabs getesteten Browsern die Forward Secrecy angezeigt"

 

[jahlives]

ICH möchte keinen User mit Windows XP mehr auf meiner Synology...

dann wohl den Yandex Search-Bot auch nicht mehr, oder?

 

[Buntbaer2001]

Die Russen? Nö.

Aber wie schon geschrieben: Kann ja jeder halten wie er will. Einfach die entsprechenden Cipher- und Verschlüsselungen aktivieren...
Jeder ist ja für seinen Server und seine Security selbst verantwortlich.

Mir ging es primär ja darum zu zeigen, das FS mit IE sehr wohl auch bei Synology möglich ist (wenn dann auch nicht mit XP).
Und wenn jemand will, kann er ja auch noch SSL3 und RSA mit RC4 zulassen, damit dann XP und Yandex auch gehen.
Jedem das seine.

Gruß
Peter

 

[jahlives]

wieso wird eigentlich bei deinem Screenshot nicht in grün angezeigt, dass FS mit allen Referenzbrowsern geht? Sollte eigentlich dort stehen. Kann es sein, dass die bei einem oder mehreren Referenzclients doch kein FS hast?
Yandex und IE6 XP hallte ich auch draussen. Allerdings erlaube ich IE8 und XP noch

 

[Frogman]

Mir ging es primär ja darum zu zeigen, das FS mit IE sehr wohl auch bei Synology möglich ist (wenn dann auch nicht mit XP).

Das liegt aber nur am Apache - die Version 2.2.26 (die nun endlich ECDH beherrscht) in der DSM-5.0 liefert mir das jetzt auch.
Hier daher jetzt die ECDHE-Ciphern noch etwas höher priorisiert:

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-GCM-SHA384:DHE-DSS-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-DSS-AES128-GCM-SHA256:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:ECDH-RSA-AES256-GCM-SHA384:ECDH-ECDSA-AES256-GCM-SHA384:ECDH-RSA-AES256-SHA384:ECDH-ECDSA-AES256-SHA384:ECDH-RSA-AES128-GCM-SHA256:ECDH-ECDSA-AES128-GCM-SHA256:ECDH-RSA-AES128-SHA256:ECDH-ECDSA-AES128-SHA256:ECDH-RSA-AES256-SHA:ECDH-ECDSA-AES256-SHA:ECDH-RSA-AES128-SHA:ECDH-ECDSA-AES128-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA

EDIT:
Sogar mit grünem "FS mit Referenzbrowsern - ROBUST"

 

[maku]

Hallo Frogman,

mit den identischen Einstellungen von dem von dir genannten Post bekomme ich "nur" A-, da bei dem Test bei mir der IE11 als Referenzbrowser "no fs" lieferte....! Allerdings lief mein Test auch gegen einen vhost (für reverse proxy).....
Hast du eine Idee woran das liegen könnte?

NameVirtualHost *:443

<IfDefine SSL>
<VirtualHost *:443>
   ServerName dsm.tolledomain.de
   SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.crt
   SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.key
   SSLEngine on
   SSLProxyEngine on
   ProxyRequests Off
   ProxyVia Off
   <Proxy *>
       Order deny,allow
       Allow from all
   </Proxy>
   ProxyPass / http://localhost:5000/
   ProxyPassReverse / http://localhost:5000/
   </VirtualHost>
</IfDefine>

Die von dir beschriebenen Änderungen habe ich in den Dateien httpd-alt-port-ssl-setting.conf und httpd-ssl.conf-common umgesetzt.

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDH-RSA-AES256-GCM-SHA384:ECDH-ECDSA-AES256-GCM-SHA384:ECDH-RSA-AES256-SHA384:ECDH-ECDSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-GCM-SHA384:DHE-DSS-AES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-DSS-AES128-GCM-SHA256:DHE-DSS-AES128-SHA256:ECDH-RSA-AES128-GCM-SHA256:ECDH-ECDSA-AES128-GCM-SHA256:ECDH-RSA-AES128-SHA256:ECDH-ECDSA-AES128-SHA256:AES128-GCM-SHA256:AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:ECDH-RSA-AES256-SHA:ECDH-ECDSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDH-RSA-AES128-SHA:ECDH-ECDSA-AES128-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DES-CBC3-SHA

 

[Frogman]

Dann verwende mal:

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-GCM-SHA384:DHE-DSS-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-DSS-AES128-GCM-SHA256:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:ECDH-RSA-AES256-GCM-SHA384:ECDH-ECDSA-AES256-GCM-SHA384:ECDH-RSA-AES256-SHA384:ECDH-ECDSA-AES256-SHA384:ECDH-RSA-AES128-GCM-SHA256:ECDH-ECDSA-AES128-GCM-SHA256:ECDH-RSA-AES128-SHA256:ECDH-ECDSA-AES128-SHA256:ECDH-RSA-AES256-SHA:ECDH-ECDSA-AES256-SHA:ECDH-RSA-AES128-SHA:ECDH-ECDSA-AES128-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA

Da sind die ECDHE höher priorisiert, hab's oben auch mal geändert.

 

[maku]

ändert bei mir nichts...im Gegensatz zu deinem Testergebnis sieht meins so aus:

 

[Frogman]

Das sind aber exakt die Prio's für mein obiges Resultat - dann hast Du noch irgendwo den Wurm drin.

 

[jahlives]

@Frogman
nur so aus Neugier:wieso hört deine Liste bei openssl auf? Da sollten doch noch die Safaries und der Yandex kommen. Oder hast du dein Bild zusammengestellt aus einzelnen Screenies?

 

[Frogman]

yep, habe mit Irfanview "fotografiert"... alles bis auf Yandex folgt noch mit FS.

EDIT:
so, hab's oben nochmal vervollständigt

 

[jahlives]

alles klar dachte schon was für eine uralt Version von ssllabs hat der da ;-) ;-)
Weitere Frage aus reiner Neugier. Schonmal das folgende in der Apache Konf versucht?

Header add Strict-Transport-Security "max-age=15768000"

weiss ned ob das die 2.2-er Versionen auch können, aber wenn ja sollte eine Note höher drinliegen

Gruss

tobi

 

[Frogman]

Hey jahlives, Du bist klasse... - vielen Dank!
Hab's erweitert mit

Header add Strict-Transport-Security "max-age=15768000;includeSubDomains"

und das Ergebnis:

 

[maku]

Das sind aber exakt die Prio's für mein obiges Resultat - dann hast Du noch irgendwo den Wurm drin.

nach Neustart der Syno hab ich nun das gleiche Ergebnis wie du. Danke für die Unterstützung!

 

[jahlives]

@frogman
pass aber auf mit includeSubDomains wenn du noch was unter dieser Domain mit HTTP haben willst ;-)

 

[drago]

Hey jahlives, Du bist klasse... - vielen Dank!
Hab's erweitert mit

Header add Strict-Transport-Security "max-age=15768000;includeSubDomains"

und das Ergebnis:

Anhang anzeigen 17012

Ich würde es auf 1 Jahr (max-age=31536000) einstellen.

 

[Buntbaer2001]

wieso wird eigentlich bei deinem Screenshot nicht in grün angezeigt, dass FS mit allen Referenzbrowsern geht? Sollte eigentlich dort stehen. Kann es sein, dass die bei einem oder mehreren Referenzclients doch kein FS hast?
Yandex und IE6 XP hallte ich auch draussen. Allerdings erlaube ich IE8 und XP noch

Ich vermute das liegt daran (siehe auch bei Frogman einen Post nach dir), dass wir eben bei XP und Yandex ein Fail bekommen...

 

[Buntbaer2001]

Hey jahlives, Du bist klasse... - vielen Dank!

Dem kann ich mich nur anschließen. /etc/httpd/conf/httpd.conf noch ergänzt und jetzt auch ein A+

Danke
Peter