[gelöst] Diffie Hellmann und PFS

[debnuxer]

Bitte mal bei Gelegenheit aktuellere Verschlüsselung erlauben.

ECDHE ist vielfach schneller als DHE, also wäre es wohl zu bevorzugen.

[feltel]

Ich teste, nach einem Artikel bei Heise vor kurzem, bei meiner Domain gerade die Verschlüsselung mit PFS unter verschiedenen Browsern und Systemen. Ich denke ich kann das bald auf die debianforum-Domains ausweiten. Soweit ich mich eingelesen habe unterstützt der 2.2er-Apache in Wheezy jedoch ECDHE nicht. Aber PFS werde ich wie gesagt asap "anschalten".

[Henrikx]

Meine Verbindung mit Debianforum.de ist immer 256 Bit verschlüsselt.
Den Hinweis, wie das geht, findet sich hier
Das funktioniert mit allen Seiten die Verschlüsselung anbieten..

[guennid]

@Henrikx

Opera zeigt nach abaout:config kein RC4

Grüße, Günther

[edit] midori zeigt gar nix, xxxterm dito

[Henrikx]

In dem Hinweis ging es explizit um Firefox.

[catdog2]

ECDHE ist vielfach schneller als DHE, also wäre es wohl zu bevorzugen.

Nachdem der Server jetzt nicht unter dieser Last in die Knie geht dürfte das im Moment aber nicht so relevant sein.

edit://
Was man sich mal überlegen könnte ist ob man nicht generell auf https setzt, spätestens wenn man sich einloggen will/eingeloggt ist.

[feltel]

PFS ist jetzt zum Teil verfügbar: viewtopic.php?f=5&t=146688

[wanne]

Was man sich mal überlegen könnte ist ob man nicht generell auf https setzt, spätestens wenn man sich einloggen will/eingeloggt ist.

Also was mir immer noch ein dorn im Auge ist, ist dass die wiki suche immernoch auf http umleitet wenn man das nicht auf "Wie vorher" ändern kann. Währe das cool, wenn da immer https genutzt werden würde.
Sollte es wirklich knapp werden mit der Rechenleistung. Ist bei derzeitiger Spendenlager auch ein dickerer root-server drin.

[feltel]

Hmmm, mal drüber nachdenken, wie sowas umzusetzen wäre. Übergangsweise kann ja sowas wie KB SSL Enforcer als Browser-Addon genutzt werden. Gibts sicher auch für andere Browser als den Chromium.

[rendegast]

ZBsp. noscript > Erweitert > HTTPS >
debianforum.de
wiki.debianforum.de

[catdog2]

Hmmm, mal drüber nachdenken, wie sowas umzusetzen wäre. Übergangsweise kann ja sowas wie KB SSL Enforcer als Browser-Addon genutzt werden. Gibts sicher auch für andere Browser als den Chromium.

Wie wäre es denn zumindest den HSTS-Header [1] zu setzen? Dann verwenden Browser, die mal per https zugegriffen haben auch weiterhin https.

Das ist auch nur eine Zeile pro SSL vhost (steht alles im wikipedia Artikel).

[1] http://en.wikipedia.org/wiki/HTTP_Stric ... t_Security

[feltel]

Aha, das kannte ich noch garnicht. Ich hab das mal auf meiner Domain eingerichtet und bin auf ein kleines Problem gestoßen, das erst noch beseitigt werden müsste. Ich lasse per Apache-Rewrite alles von http://www.feltel.de nach feltel.de umschreiben (genau wie hier). Rufe ich nun http://www.feltel.de auf lande ich auf https://feltel.de und der Chromium meint

Dies ist wahrscheinlich nicht die Website, nach der Sie suchen!

Beim Versuch, auf http://www.feltel.de zuzugreifen, haben Sie einen Server erreicht, der sich feltel.de nennt. Dies kann an einer fehlerhaften Konfiguration liegen, jedoch auch schwerwiegendere Ursachen haben. Möglicherweise versucht ein Hacker, Sie auf eine gefälschte und potenziell gefährliche Version von http://www.feltel.de zu locken.
Sie können nicht fortfahren, da der Betreiber der Website die Sicherheitsvorkehrungen für diese Domain erhöht hat.

Mal schauen, wie sich das beheben lässt. Wenn das gelungen ist und nichts weiter dagegen spricht, dann kann das hier auch laufen.

[catdog2]

Mein Eiswiesel sagt:

www.feltel.de uses an invalid security certificate. The certificate is only valid for feltel.de (Error code: ssl_error_bad_cert_domain)

Das Zertifikat gilt einfach nicht für www.feltel.de. Von http://www.feltel.de landest du mit HSTS erstmal auf https://www.feltel.de und dann meckert er natürlich.

[feltel]

Stimmt, also muss irgendwie das Rewrite stattfinden bevor HSTS zuschlägt. Also in etwa so:

http://www.feltel.de -> http://feltel.de -> https://feltel.de

und nicht so

http://www.feltel.de -> https://www.feltel.de -> https://feltel.de

[catdog2]

Oder besser ein Zertifikat was beides abdeckt sonst hast du das Problem immer noch, wenn jemand direkt https://www.feltel.de aufruft.

[feltel]

SAN- oder Wildcard-Zertifikate gibts ja leider bei CAcert nicht und eigentlich wollte ich es vermeiden, Geld für Zertifikate auszugeben. Ich kann die HSTS-Einstellungen ja erstmal auf den eindeutigen Domains wie wiki, planet, ... aktivieren und die Hauptdomain heben wir uns für später auf; vielleicht findet sich noch ne elegante Lösung.

[catdog2]

Eine Alternative wäre noch https://www.startssl.com/ da kriegt man in jedem subdomain.domain.tld Zertifikat noch domain.tld als ALTName ins Zertifikat was das www. Problem löst. Oder man benutzt getrennte Zertifikate für mit und ohne www .

[wanne]

Ich kann die HSTS-Einstellungen ja erstmal auf den eindeutigen Domains wie wiki, planet, ... aktivieren und die Hauptdomain heben wir uns für später auf; vielleicht findet sich noch ne elegante Lösung.

Das würde mein problem schonmal lösen, die Forensuche funktioniert so wie man sich das vorstellt. Nur im wiki will nicht.

[feltel]

Das würde mein problem schonmal lösen, die Forensuche funktioniert so wie man sich das vorstellt. Nur im wiki will nicht.

Die Einstellung ist jetzt auf allen Subdomains (außer www) aktiv.

[wanne]

Danke, dem großen Foren Admin

[feltel]

Ich habe HSTS jetzt auch auf der debianforum.de Domain aktiviert. Ich habe in der Config einfach das "includeSubdomains" weggelassen, womit HSTS erst nach dem Redirect von http://www.debianforum.de nach debianforum.de "wirken" sollte. Manchmal muss man halt ein wenig (länger) über ein Problem nachdenken. Testet es mal aus.

[catdog2]

Scheint zu klappen.

[catdog2]

Der apache in wheezy kann jetzt auch ECDHE https://www.debian.org/News/2014/20140712

[wanne]

Der apache in wheezy kann jetzt auch ECDHE

Das forum macht auch mittlerweie per default ECDHE. Die Frage ist, ob man das wirklich will. Würde das auf jeden Fall mal nicht enforcen.