Toggle sidebar

Perfect Forward Secrecy - Synology DS?

Status
Für weitere Antworten geschlossen.
Hi,

ich bekomme zwei Fehler, wenn ich dein Code verwende.
 

Anhänge

  • Ohne Titel.jpg
    Ohne Titel.jpg
    23,8 KB · Aufrufe: 131
Das ist kein Fehler, das ist Absicht. :rolleyes:

ICH möchte keinen User mit Windows XP mehr auf meiner Synology...

Gruß
Peter
 
Buntbaer2001 schrieb:
Das ist kein Fehler, das ist Absicht. :rolleyes:

ICH möchte keinen User mit Windows XP mehr auf meiner Synology...
Zum Vergrößern anklicken....
Die Verwirrung hast Du wohl mit Deiner Äußerung gestiftet, Du bekämst mit Deiner Einstellung "jetzt mit ALLEN von SSLLabs getesteten Browsern die Forward Secrecy angezeigt" ;)
 
Die Russen? Nö. :)

Aber wie schon geschrieben: Kann ja jeder halten wie er will. Einfach die entsprechenden Cipher- und Verschlüsselungen aktivieren...
Jeder ist ja für seinen Server und seine Security selbst verantwortlich.

Mir ging es primär ja darum zu zeigen, das FS mit IE sehr wohl auch bei Synology möglich ist (wenn dann auch nicht mit XP).
Und wenn jemand will, kann er ja auch noch SSL3 und RSA mit RC4 zulassen, damit dann XP und Yandex auch gehen.
Jedem das seine.

Gruß
Peter
 
wieso wird eigentlich bei deinem Screenshot nicht in grün angezeigt, dass FS mit allen Referenzbrowsern geht? Sollte eigentlich dort stehen. Kann es sein, dass die bei einem oder mehreren Referenzclients doch kein FS hast?
Yandex und IE6 XP hallte ich auch draussen. Allerdings erlaube ich IE8 und XP noch :-)
 
Buntbaer2001 schrieb:
Mir ging es primär ja darum zu zeigen, das FS mit IE sehr wohl auch bei Synology möglich ist (wenn dann auch nicht mit XP).
Zum Vergrößern anklicken....
Das liegt aber nur am Apache - die Version 2.2.26 (die nun endlich ECDH beherrscht) in der DSM-5.0 liefert mir das jetzt auch.
Hier daher jetzt die ECDHE-Ciphern noch etwas höher priorisiert:
Rich (BBCode): 
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-GCM-SHA384:DHE-DSS-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-DSS-AES128-GCM-SHA256:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:ECDH-RSA-AES256-GCM-SHA384:ECDH-ECDSA-AES256-GCM-SHA384:ECDH-RSA-AES256-SHA384:ECDH-ECDSA-AES256-SHA384:ECDH-RSA-AES128-GCM-SHA256:ECDH-ECDSA-AES128-GCM-SHA256:ECDH-RSA-AES128-SHA256:ECDH-ECDSA-AES128-SHA256:ECDH-RSA-AES256-SHA:ECDH-ECDSA-AES256-SHA:ECDH-RSA-AES128-SHA:ECDH-ECDSA-AES128-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA

EDIT:
Sogar mit grünem "FS mit Referenzbrowsern - ROBUST" ;)

screen1.jpg
screen2.jpg
screen3.jpg
screen5.jpg
screen4.jpg
 
Zuletzt bearbeitet:
Hallo Frogman,

mit den identischen Einstellungen von dem von dir genannten Post bekomme ich "nur" A-, da bei dem Test bei mir der IE11 als Referenzbrowser "no fs" lieferte....! Allerdings lief mein Test auch gegen einen vhost (für reverse proxy).....
Hast du eine Idee woran das liegen könnte?

Rich (BBCode): 
NameVirtualHost *:443

<IfDefine SSL>
<VirtualHost *:443>
   ServerName dsm.tolledomain.de
   SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.crt
   SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.key
   SSLEngine on
   SSLProxyEngine on
   ProxyRequests Off
   ProxyVia Off
   <Proxy *>
       Order deny,allow
       Allow from all
   </Proxy>
   ProxyPass / http://localhost:5000/
   ProxyPassReverse / http://localhost:5000/
   </VirtualHost>
</IfDefine>

Die von dir beschriebenen Änderungen habe ich in den Dateien httpd-alt-port-ssl-setting.conf und httpd-ssl.conf-common umgesetzt.

Rich (BBCode): 
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDH-RSA-AES256-GCM-SHA384:ECDH-ECDSA-AES256-GCM-SHA384:ECDH-RSA-AES256-SHA384:ECDH-ECDSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-GCM-SHA384:DHE-DSS-AES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-DSS-AES128-GCM-SHA256:DHE-DSS-AES128-SHA256:ECDH-RSA-AES128-GCM-SHA256:ECDH-ECDSA-AES128-GCM-SHA256:ECDH-RSA-AES128-SHA256:ECDH-ECDSA-AES128-SHA256:AES128-GCM-SHA256:AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:ECDH-RSA-AES256-SHA:ECDH-ECDSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDH-RSA-AES128-SHA:ECDH-ECDSA-AES128-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DES-CBC3-SHA
 
Dann verwende mal:
Rich (BBCode): 
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-GCM-SHA384:DHE-DSS-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-DSS-AES128-GCM-SHA256:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:ECDH-RSA-AES256-GCM-SHA384:ECDH-ECDSA-AES256-GCM-SHA384:ECDH-RSA-AES256-SHA384:ECDH-ECDSA-AES256-SHA384:ECDH-RSA-AES128-GCM-SHA256:ECDH-ECDSA-AES128-GCM-SHA256:ECDH-RSA-AES128-SHA256:ECDH-ECDSA-AES128-SHA256:ECDH-RSA-AES256-SHA:ECDH-ECDSA-AES256-SHA:ECDH-RSA-AES128-SHA:ECDH-ECDSA-AES128-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA

Da sind die ECDHE höher priorisiert, hab's oben auch mal geändert.
 
ändert bei mir nichts...im Gegensatz zu deinem Testergebnis sieht meins so aus:

Unknown.jpg
 
Das sind aber exakt die Prio's für mein obiges Resultat - dann hast Du noch irgendwo den Wurm drin.
 
@Frogman
nur so aus Neugier:wieso hört deine Liste bei openssl auf? Da sollten doch noch die Safaries und der Yandex kommen. Oder hast du dein Bild zusammengestellt aus einzelnen Screenies?
 
yep, habe mit Irfanview "fotografiert"... alles bis auf Yandex folgt noch mit FS.

EDIT:
so, hab's oben nochmal vervollständigt :)
 
Zuletzt bearbeitet:
alles klar :-) dachte schon was für eine uralt Version von ssllabs hat der da ;-) ;-)
Weitere Frage aus reiner Neugier. Schonmal das folgende in der Apache Konf versucht?
Code: 
Header add Strict-Transport-Security "max-age=15768000"
weiss ned ob das die 2.2-er Versionen auch können, aber wenn ja sollte eine Note höher drinliegen :-)

Gruss

tobi
 
Hey jahlives, Du bist klasse... :) - vielen Dank!
Hab's erweitert mit
Rich (BBCode): 
Header add Strict-Transport-Security "max-age=15768000;includeSubDomains"
und das Ergebnis:

Zwischenablage01.jpg
 
@frogman
pass aber auf mit includeSubDomains wenn du noch was unter dieser Domain mit HTTP haben willst ;-)
 
jahlives schrieb:
wieso wird eigentlich bei deinem Screenshot nicht in grün angezeigt, dass FS mit allen Referenzbrowsern geht? Sollte eigentlich dort stehen. Kann es sein, dass die bei einem oder mehreren Referenzclients doch kein FS hast?
Yandex und IE6 XP hallte ich auch draussen. Allerdings erlaube ich IE8 und XP noch :-)
Zum Vergrößern anklicken....

Ich vermute das liegt daran (siehe auch bei Frogman einen Post nach dir), dass wir eben bei XP und Yandex ein Fail bekommen...
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten