Zunächst ein paar Formalien: Deine Cipher-Definition enthält Leerzeichen - das sollte nicht sein (also vor "
_DH" und "
_3DES" entfernen).
Dazu kannst Du das "MEDIUM" weglassen, weil es nicht mehr liefert, als ohnehin in "HIGH" enthalten ist.
Im Speziellen werden mit Deiner Definition auch Ciphren zugelassen, die auf DH-Schlüsseltausch setzen. Dahingehend liefert das DSM - aufgrund seines Apache 2.2.29 - immer noch eine Beschränkung in der möglichen Länge der DH-Parameter, die auf 1024bit limitiert wird. Ein längerer Schlüssel (der heutzutage mit einer Länge von 2048bit oder gar 4096bit erzeugt wird) bringt also keine weitere Sicherheit, das Niveau wird auf 1024bit-DH begrenzt (was Google dann mit einer unschönen Meldung quittiert). Die Bewertung bei ssllabs.com wird daher auch kurzerhand abgewertet auf unter 'C', glaube ich.
Im Apache 2.4.x ist das schon seit einiger Zeit korrigiert, dort lassen sich auch eigene/generische DH-Parameter bis zu 4096bit nutzen. Und für den Apache ab 2.2.30 ist das jüngst auch backportiert worden (ich habe Synology eindringlich darauf hingewiesen, zeitnah den Apache allein aus diesen Sicherheitsaspekten heraus zu aktualisieren, mindestens auf den 2.2.31, der im Juli released wurde - schauen wir mal, die erste Antwort aus Fernost war ermutigend).
Solange Du mit dem 2.2.29 leben musst, bleibt Dir nur, DHE auszuschließen (und natürlich auch ECDH, was kein Forward Secrecy liefert) - dann bleibt PFS nur mit ECDHE. Eine hinreichend gute Sammlung, in der PFS am höchsten priorisiert wird, erhälst Du mit
Code:
SSLCipherSuite EECDH+AESGCM:AES+EECDH:+ECDHE-RSA-AES256-SHA:+ECDHE-RSA-AES128-SHA:RSA+AESGCM:RSA+AES:RSA+CAMELLIA:+AES256-SHA:+AES128-SHA:!EXPORT:!eNULL:!aNULL:!DES:!3DES:!RC4:!RC2:!MD5:!IDEA:!SEED:!EDH:!aECDH:!aECDSA:!kECDHe:!SRP:!PSK
Dabei werden noch ein paar andere Dinge berücksichtigt, die man nicht vergessen sollte, wenn man auf ein hohes Niveau Wert legt: Ciphren mit preshared key werden ausgeschlossen (PSK-...) sowie auch SRP-Ciphren, Export und noch ein paar Kleinigkeiten. Zudem liefert die obige Zeile eine Priorisierung von GCM-Verschlüsselungen und einen SHA2-Hash für die Nachrichtenauthentifikation. Sie läßt nachgeordnet einen RSA-Schlüsseltausch noch zu mit AES/Camellia-Verschlüsselung (der zwar kein PFS bietet, aber aus Kompatibilitätsgründen manchmal hilfreich ist):
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-SHA
ECDHE-RSA-AES128-SHA
AES256-GCM-SHA384
AES128-GCM-SHA256
AES256-SHA256
AES128-SHA256
CAMELLIA256-SHA
CAMELLIA128-SHA
AES256-SHA
AES128-SHA
Ist RSA-Schlüsseltausch nicht notwendig/gewollt, kann man die auch herausnehmen, dann bleiben nur die ECDHE-... übrig, die allesamt unkritisches PFS liefern:
Code:
SSLCipherSuite EECDH+AESGCM:AES+EECDH:+ECDHE-RSA-AES256-SHA:+ECDHE-RSA-AES128-SHA:!EXPORT:!eNULL:!aNULL:!DES:!3DES:!RC4:!RC2:!MD5:!IDEA:!SEED:!EDH:!aECDH:!aECD
SA:!kECDHe:!SRP:!PSK