Apache | SSLCipherSuite | Cipher High sinnvoll?

[slu]

Ich möchte den Webserver mit möglichst starker Verschlüsselung betreiben (meine Clients sind Modern, kann daher auf alte Cipher verzichten).

Seither hatte ich das so:

Code: Alles auswählen

SSLEngine on
SSLCompression Off
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256

In der Apache doc steht [1] man kann auch "SSLCipherSuite HIGH:!aNULL:!MD5" setzen, meiner Meinung nach würde das immer die starken Cipher wählen, auch über Updates hinweg.
Wenn ich dann mal auf der Konsole ein "openssl ciphers HIGH" aufrufe kommt eine sehr lange Liste raus.

Macht dieses Einstellung mit HIGH daher Sinn?
Wie macht ihr das?


[1] https://httpd.apache.org/docs/2.4/ssl/s ... onlystrong

[HZB]

Ich möchte den Webserver mit möglichst starker Verschlüsselung betreiben (meine Clients sind Modern, kann daher auf alte Cipher verzichten).

Seither hatte ich das so:

Code: Alles auswählen

SSLEngine on
SSLCompression Off
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256

In der Apache doc steht [1] man kann auch "SSLCipherSuite HIGH:!aNULL:!MD5" setzen, meiner Meinung nach würde das immer die starken Cipher wählen, auch über Updates hinweg.
Wenn ich dann mal auf der Konsole ein "openssl ciphers HIGH" aufrufe kommt eine sehr lange Liste raus.

Macht dieses Einstellung mit HIGH daher Sinn?
Wie macht ihr das?


[1] https://httpd.apache.org/docs/2.4/ssl/s ... onlystrong

HIGH bedeutet nur:

Code: Alles auswählen

"High" encryption cipher suites. This currently means those with key lengths larger than 128 bits, and some cipher suites with 128-bit keys.

Du kannst es Dir aber auch einfacher machen und auch TLS1.2 rausehmen. Dann bleiben mmn nur mehr 5 Möglichkeiten übrig:

https://wiki.openssl.org/index.php/TLS1.3#Ciphersuites

HTH