SSL Cipher Stärke

  • Hallo liebe Community,


    ich bin ein großer Fan von Sicherheit auch im Hosting-Bereich. Der erste Schritt dabei ist eine sichere Verschlüsselung zwischen dem Kunden-Gerät und dem Server.
    Liveconfig bietet die tolle Option die SSL-Cipher zu wechseln. Man kann zwischen PCI-konform oder kompatibel unterscheiden.


    Wenn ich allerdings mit den PCI-konformen Ciphers einen Test bei SSL-Labs durchführe, schneiden meine IP-Adressen nur mit Klasse "C" ab, da die Ciphers RC4 unterstützen.


    Ich würde gerne einen Server mit den modernsten Ciphers ausstatten, um das höchste Maß an Sicherheit im SSL-Bereich zu bieten.


    Eine kleine Anregung dazu gibt es hier:
    https://cipherli.st/


    Dort werden Konfigurationen mit A+ Klassifizierung von SSL Labs aufgelistet.


    Was haltet ihr davon eine dritte Auswahl-Möglichkeit einzubauen?


    Schöne Grüße,
    WDK

  • Hallo Torsten,


    vielen Dank für deine Antwort!


    Ich habe eben direkt mal die Unterschiede getestet. Folgendes Ergebnis:


    Kompatibel:
    SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS


    PCI-Konform:
    SSLCipherSuite ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:AES256-GCM-SHA384:AES128-GCM-SHA256:ECDHE-RSA-RC4-SHA:RC4-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA



    Bei SSL-Labs habe ich bei beiden Tests eine C-Klassifizierung erhalten.



    Gruß,
    WDK

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!