[gelöst] Diffie Hellmann und PFS
[gelöst] Diffie Hellmann und PFS
Bitte mal bei Gelegenheit aktuellere Verschlüsselung erlauben.
ECDHE ist vielfach schneller als DHE, also wäre es wohl zu bevorzugen.
ECDHE ist vielfach schneller als DHE, also wäre es wohl zu bevorzugen.
Zuletzt geändert von debnuxer am 13.01.2014 22:55:16, insgesamt 1-mal geändert.
Das Leben ist wie ein überdimensionales Schachbrett.
- feltel
- Webmaster
- Beiträge: 10378
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: Diffie Hellmann und PFS
Ich teste, nach einem Artikel bei Heise vor kurzem, bei meiner Domain gerade die Verschlüsselung mit PFS unter verschiedenen Browsern und Systemen. Ich denke ich kann das bald auf die debianforum-Domains ausweiten. Soweit ich mich eingelesen habe unterstützt der 2.2er-Apache in Wheezy jedoch ECDHE nicht. Aber PFS werde ich wie gesagt asap "anschalten".
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Re: Diffie Hellmann und PFS
Meine Verbindung mit Debianforum.de ist immer 256 Bit verschlüsselt.
Den Hinweis, wie das geht, findet sich hier
Das funktioniert mit allen Seiten die Verschlüsselung anbieten..
Den Hinweis, wie das geht, findet sich hier
Das funktioniert mit allen Seiten die Verschlüsselung anbieten..
Re: Diffie Hellmann und PFS
@Henrikx
Opera zeigt nach abaout:config kein RC4
Grüße, Günther
[edit] midori zeigt gar nix, xxxterm dito
Opera zeigt nach abaout:config kein RC4
Grüße, Günther
[edit] midori zeigt gar nix, xxxterm dito
Re: Diffie Hellmann und PFS
Nachdem der Server jetzt nicht unter dieser Last in die Knie geht dürfte das im Moment aber nicht so relevant sein.ECDHE ist vielfach schneller als DHE, also wäre es wohl zu bevorzugen.
edit://
Was man sich mal überlegen könnte ist ob man nicht generell auf https setzt, spätestens wenn man sich einloggen will/eingeloggt ist.
Unix is user-friendly; it's just picky about who its friends are.
- feltel
- Webmaster
- Beiträge: 10378
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: Diffie Hellmann und PFS
PFS ist jetzt zum Teil verfügbar: viewtopic.php?f=5&t=146688
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Re: Diffie Hellmann und PFS
Also was mir immer noch ein dorn im Auge ist, ist dass die wiki suche immernoch auf http umleitet wenn man das nicht auf "Wie vorher" ändern kann. Währe das cool, wenn da immer https genutzt werden würde.Was man sich mal überlegen könnte ist ob man nicht generell auf https setzt, spätestens wenn man sich einloggen will/eingeloggt ist.
Sollte es wirklich knapp werden mit der Rechenleistung. Ist bei derzeitiger Spendenlager auch ein dickerer root-server drin.
rot: Moderator wanne spricht, default: User wanne spricht.
- feltel
- Webmaster
- Beiträge: 10378
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: Diffie Hellmann und PFS
Hmmm, mal drüber nachdenken, wie sowas umzusetzen wäre. Übergangsweise kann ja sowas wie KB SSL Enforcer als Browser-Addon genutzt werden. Gibts sicher auch für andere Browser als den Chromium.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Re: Diffie Hellmann und PFS
ZBsp. noscript > Erweitert > HTTPS >
debianforum.de
wiki.debianforum.de
debianforum.de
wiki.debianforum.de
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: Diffie Hellmann und PFS
Wie wäre es denn zumindest den HSTS-Header [1] zu setzen? Dann verwenden Browser, die mal per https zugegriffen haben auch weiterhin https.Hmmm, mal drüber nachdenken, wie sowas umzusetzen wäre. Übergangsweise kann ja sowas wie KB SSL Enforcer als Browser-Addon genutzt werden. Gibts sicher auch für andere Browser als den Chromium.
Das ist auch nur eine Zeile pro SSL vhost (steht alles im wikipedia Artikel).
[1] http://en.wikipedia.org/wiki/HTTP_Stric ... t_Security
Unix is user-friendly; it's just picky about who its friends are.
- feltel
- Webmaster
- Beiträge: 10378
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: Diffie Hellmann und PFS
Aha, das kannte ich noch garnicht. Ich hab das mal auf meiner Domain eingerichtet und bin auf ein kleines Problem gestoßen, das erst noch beseitigt werden müsste. Ich lasse per Apache-Rewrite alles von http://www.feltel.de nach feltel.de umschreiben (genau wie hier). Rufe ich nun http://www.feltel.de auf lande ich auf https://feltel.de und der Chromium meint
Mal schauen, wie sich das beheben lässt. Wenn das gelungen ist und nichts weiter dagegen spricht, dann kann das hier auch laufen.Dies ist wahrscheinlich nicht die Website, nach der Sie suchen!
Beim Versuch, auf http://www.feltel.de zuzugreifen, haben Sie einen Server erreicht, der sich feltel.de nennt. Dies kann an einer fehlerhaften Konfiguration liegen, jedoch auch schwerwiegendere Ursachen haben. Möglicherweise versucht ein Hacker, Sie auf eine gefälschte und potenziell gefährliche Version von http://www.feltel.de zu locken.
Sie können nicht fortfahren, da der Betreiber der Website die Sicherheitsvorkehrungen für diese Domain erhöht hat.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Re: Diffie Hellmann und PFS
Mein Eiswiesel sagt:
Das Zertifikat gilt einfach nicht für www.feltel.de. Von http://www.feltel.de landest du mit HSTS erstmal auf https://www.feltel.de und dann meckert er natürlich.www.feltel.de uses an invalid security certificate. The certificate is only valid for feltel.de (Error code: ssl_error_bad_cert_domain)
Unix is user-friendly; it's just picky about who its friends are.
- feltel
- Webmaster
- Beiträge: 10378
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: Diffie Hellmann und PFS
Stimmt, also muss irgendwie das Rewrite stattfinden bevor HSTS zuschlägt. Also in etwa so:
http://www.feltel.de -> http://feltel.de -> https://feltel.de
und nicht so
http://www.feltel.de -> https://www.feltel.de -> https://feltel.de
http://www.feltel.de -> http://feltel.de -> https://feltel.de
und nicht so
http://www.feltel.de -> https://www.feltel.de -> https://feltel.de
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Re: Diffie Hellmann und PFS
Oder besser ein Zertifikat was beides abdeckt sonst hast du das Problem immer noch, wenn jemand direkt https://www.feltel.de aufruft.
Unix is user-friendly; it's just picky about who its friends are.
- feltel
- Webmaster
- Beiträge: 10378
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: Diffie Hellmann und PFS
SAN- oder Wildcard-Zertifikate gibts ja leider bei CAcert nicht und eigentlich wollte ich es vermeiden, Geld für Zertifikate auszugeben. Ich kann die HSTS-Einstellungen ja erstmal auf den eindeutigen Domains wie wiki, planet, ... aktivieren und die Hauptdomain heben wir uns für später auf; vielleicht findet sich noch ne elegante Lösung.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Re: Diffie Hellmann und PFS
Eine Alternative wäre noch https://www.startssl.com/ da kriegt man in jedem subdomain.domain.tld Zertifikat noch domain.tld als ALTName ins Zertifikat was das www. Problem löst. Oder man benutzt getrennte Zertifikate für mit und ohne www .
Unix is user-friendly; it's just picky about who its friends are.
Re: Diffie Hellmann und PFS
Das würde mein problem schonmal lösen, die Forensuche funktioniert so wie man sich das vorstellt. Nur im wiki will nicht.feltel hat geschrieben:Ich kann die HSTS-Einstellungen ja erstmal auf den eindeutigen Domains wie wiki, planet, ... aktivieren und die Hauptdomain heben wir uns für später auf; vielleicht findet sich noch ne elegante Lösung.
rot: Moderator wanne spricht, default: User wanne spricht.
- feltel
- Webmaster
- Beiträge: 10378
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: Diffie Hellmann und PFS
Die Einstellung ist jetzt auf allen Subdomains (außer www) aktiv.wanne hat geschrieben:Das würde mein problem schonmal lösen, die Forensuche funktioniert so wie man sich das vorstellt. Nur im wiki will nicht.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Re: Diffie Hellmann und PFS
Danke, dem großen Foren Admin
rot: Moderator wanne spricht, default: User wanne spricht.
- feltel
- Webmaster
- Beiträge: 10378
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: [gelöst] Diffie Hellmann und PFS
Ich habe HSTS jetzt auch auf der debianforum.de Domain aktiviert. Ich habe in der Config einfach das "includeSubdomains" weggelassen, womit HSTS erst nach dem Redirect von http://www.debianforum.de nach debianforum.de "wirken" sollte. Manchmal muss man halt ein wenig (länger) über ein Problem nachdenken. Testet es mal aus.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Re: [gelöst] Diffie Hellmann und PFS
Scheint zu klappen.
Unix is user-friendly; it's just picky about who its friends are.
Re: [gelöst] Diffie Hellmann und PFS
Der apache in wheezy kann jetzt auch ECDHE https://www.debian.org/News/2014/20140712
Unix is user-friendly; it's just picky about who its friends are.
Re: [gelöst] Diffie Hellmann und PFS
Das forum macht auch mittlerweie per default ECDHE. Die Frage ist, ob man das wirklich will. Würde das auf jeden Fall mal nicht enforcen.catdog2 hat geschrieben:Der apache in wheezy kann jetzt auch ECDHE
rot: Moderator wanne spricht, default: User wanne spricht.