You are viewing a plain text version of this content. The canonical link for it is here.
Posted to users-de@httpd.apache.org by Richard <ri...@34hack.net> on 2012/07/12 09:21:15 UTC
Redirect bei falscher SSL Version
Hallo zusammen,
ich suche nach einer Lösung für ein SSL Problem.
Ich möchte gerne Browser auf eine Infoseite umleiten, die versuchen eine
SSL-Verbindung mit einer Version kleiner SSLv3 oder TLSv1 auf zubauen.
Dabei soll die Prüfung und Weiterleitung auf der Serverseite erfolgen und nicht auf der Clientseite.
Hat da jemand eine Idee bzw. geht so etwas.
Gruß
Richard
---------------------------------------------------------------------
To unsubscribe, e-mail: users-de-unsubscribe@httpd.apache.org
For additional commands, e-mail: users-de-help@httpd.apache.org
Re: Redirect bei falscher SSL Version
Posted by Richard <ri...@34hack.net>.
Hallo zusammen,
ok, die Konfiguration funktioniert.
Danke für die Tipps.
Jetzt habe ich nur noch ein Problem.
Ich versuche bei einigen VirtualHost SSLv3 und bei andern zusätzlich
SSLv2 zu aktivieren.
Aber das bekomme ich ich nicht hin.
Entweder gilt für alle SSLv3 oder SSLv2.
Geht das für virtuelle Host nicht getrennt?
Gruß
Richard
Am 12.07.12 23:01, schrieb Reindl Harald:
>
> Am 12.07.2012 22:54, schrieb Martin Ebert:
>> Hallo Harald, liebe Liste,
>>
>>> Wir haben WÖCHENTLICH externe Security-Audits eines Großkunden
>>> und da heisst es bei dieser Config "Massnahmen erforderlich oder
>>> Websites gehen vom Netz"
>> Ok, wird Gründe haben.
>> Ich fand ja, das meine config ganz gut tut ... aber bei diesem Thema
>> bin ich leider Freizeitkapitän.
>>
>> Ist es Dir möglich, in drei Sätzen zu schreiben, was da im Gegensatz
>> zu meiner conf passiert, ausgeschlossen wird?
>>
>> Dabei ist (mir zumindest) völlig klar, dass nichts erzwingbar
>> ist: Wenn Du möchtest, lässt Du andere an Deinem Wissen
>> teilhaben - ich jedenfalls möchte teilhaben.
>>
>> RTFM, ich weiß. Aber so - ist es halt einfacher:
>> Hinten anhängen, ganz schnell lernen; von anderen profitieren
> Alle möglichen (meist theoretischen) SSL-Varianten die
> anfällig für MITM-Attacken sind könnten vom Client gewählt
> werden
>
> Ich würde das auch nicht überbewerten, aber nachdem die
> entsprechenden Einstellungen in wenigen Sekunden gemacht
> sind, Firefox 1.0 und MSIE 6.0 und dann nach heutgem
> Stand zm Einen nicht mehr sein kann (bis zum nächsten CVE)
> und zum Anderen die Audits auf grün anstatt gelb sind
> spricht nichts dagegen
>
> https://www.ssllabs.com/ssltest/ wurde mir hier kürzlich
> empfohlen und ist ein verdammt guter Test - Demzufolge
> sind wir derzeit PCI-Konform wenn auch durch openssl 1.0.0
> bedingt nicht volle Punktzahl
>
> http://de.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard
>
>
---------------------------------------------------------------------
To unsubscribe, e-mail: users-de-unsubscribe@httpd.apache.org
For additional commands, e-mail: users-de-help@httpd.apache.org
Re: Redirect bei falscher SSL Version
Posted by Reindl Harald <h....@thelounge.net>.
Am 12.07.2012 22:54, schrieb Martin Ebert:
> Hallo Harald, liebe Liste,
>
>> Wir haben WÖCHENTLICH externe Security-Audits eines Großkunden
>> und da heisst es bei dieser Config "Massnahmen erforderlich oder
>> Websites gehen vom Netz"
>
> Ok, wird Gründe haben.
> Ich fand ja, das meine config ganz gut tut ... aber bei diesem Thema
> bin ich leider Freizeitkapitän.
>
> Ist es Dir möglich, in drei Sätzen zu schreiben, was da im Gegensatz
> zu meiner conf passiert, ausgeschlossen wird?
>
> Dabei ist (mir zumindest) völlig klar, dass nichts erzwingbar
> ist: Wenn Du möchtest, lässt Du andere an Deinem Wissen
> teilhaben - ich jedenfalls möchte teilhaben.
>
> RTFM, ich weiß. Aber so - ist es halt einfacher:
> Hinten anhängen, ganz schnell lernen; von anderen profitieren
Alle möglichen (meist theoretischen) SSL-Varianten die
anfällig für MITM-Attacken sind könnten vom Client gewählt
werden
Ich würde das auch nicht überbewerten, aber nachdem die
entsprechenden Einstellungen in wenigen Sekunden gemacht
sind, Firefox 1.0 und MSIE 6.0 und dann nach heutgem
Stand zm Einen nicht mehr sein kann (bis zum nächsten CVE)
und zum Anderen die Audits auf grün anstatt gelb sind
spricht nichts dagegen
https://www.ssllabs.com/ssltest/ wurde mir hier kürzlich
empfohlen und ist ein verdammt guter Test - Demzufolge
sind wir derzeit PCI-Konform wenn auch durch openssl 1.0.0
bedingt nicht volle Punktzahl
http://de.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard
Re: Redirect bei falscher SSL Version
Posted by Martin Ebert <ma...@wb-online.de>.
Hallo Harald, liebe Liste,
> Wir haben WÖCHENTLICH externe Security-Audits eines Großkunden
> und da heisst es bei dieser Config "Massnahmen erforderlich oder
> Websites gehen vom Netz"
Ok, wird Gründe haben.
Ich fand ja, das meine config ganz gut tut ... aber bei diesem Thema
bin ich leider Freizeitkapitän.
Ist es Dir möglich, in drei Sätzen zu schreiben, was da im Gegensatz
zu meiner conf passiert, ausgeschlossen wird?
Dabei ist (mir zumindest) völlig klar, dass nichts erzwingbar
ist: Wenn Du möchtest, lässt Du andere an Deinem Wissen
teilhaben - ich jedenfalls möchte teilhaben.
RTFM, ich weiß. Aber so - ist es halt einfacher:
Hinten anhängen, ganz schnell lernen; von anderen profitieren.
---------------------------------------------------------------------
To unsubscribe, e-mail: users-de-unsubscribe@httpd.apache.org
For additional commands, e-mail: users-de-help@httpd.apache.org
Re: Redirect bei falscher SSL Version
Posted by Reindl Harald <h....@thelounge.net>.
Am 12.07.2012 19:42, schrieb Martin Ebert:
> Liebe Liste,
>
> Am 12.07.2012 12:01, schrieb Reindl Harald:
>
>> SSLProtocol All -SSLv2
>> SSLInsecureRenegotiation Off
>> SSLHonorCipherOrder On
>> SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM:!SSLV2:!eNUL
>
> Ich bin jetzt (als jemand, der das nicht täglich macht)
> doch etwas verunsichert: Bei mir stehen da allein zwei Zeilen:
>
> SSLProtocol all -SSLv2
> SSLCipherSuite HIGH
>
> Sollte ich das ändern?
Ja solltest du!
Wir haben WÖCHENTLICH externe Security-Audits eines Großkunden und da heisst es bei
dieser Config "Massnahmen erforderlich oder Websites gehen vom Netz"
Re: Redirect bei falscher SSL Version
Posted by Martin Ebert <ma...@wb-online.de>.
Liebe Liste,
Am 12.07.2012 12:01, schrieb Reindl Harald:
> SSLProtocol All -SSLv2
> SSLInsecureRenegotiation Off
> SSLHonorCipherOrder On
> SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM:!SSLV2:!eNUL
Ich bin jetzt (als jemand, der das nicht täglich macht)
doch etwas verunsichert: Bei mir stehen da allein zwei Zeilen:
SSLProtocol all -SSLv2
SSLCipherSuite HIGH
Sollte ich das ändern?
Danke und freundliche Grüße
---------------------------------------------------------------------
To unsubscribe, e-mail: users-de-unsubscribe@httpd.apache.org
For additional commands, e-mail: users-de-help@httpd.apache.org
Re: Redirect bei falscher SSL Version
Posted by Reindl Harald <h....@thelounge.net>.
Am 12.07.2012 12:42, schrieb Richard:
> Am 12.07.12 12:01, schrieb Reindl Harald:
>>
>> Am 12.07.2012 09:21, schrieb Richard:
>>> Hallo zusammen,
>>>
>>> ich suche nach einer Lösung für ein SSL Problem.
>>>
>>> Ich möchte gerne Browser auf eine Infoseite umleiten, die versuchen eine
>>> SSL-Verbindung mit einer Version kleiner SSLv3 oder TLSv1 auf zubauen.
>>>
>>> Dabei soll die Prüfung und Weiterleitung auf der Serverseite erfolgen und nicht auf der Clientseite.
>>> Hat da jemand eine Idee bzw. geht so etwas.
>> Nicht wirklich weil völlig falscher Ansatz
>>
>> Apache ordentlich konfigurieren dann akzeptiert er beim Handshake
>> auch nur SSL3/TLS, alles andere lässt dich auch bei jedem
>> Security-Audit mit Nessus etc. gandenlos durchfallen
>>
>> SSLProtocol All -SSLv2
>> SSLInsecureRenegotiation Off
>> SSLHonorCipherOrder On
>> SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM:!SSLV2:!eNUL
>>
>> [root@openvas:~]$ sslscan rh.thelounge.net | grep Accepted
>> Accepted SSLv3 256 bits AES256-SHA
>> Accepted SSLv3 256 bits CAMELLIA256-SHA
>> Accepted SSLv3 168 bits DES-CBC3-SHA
>> Accepted SSLv3 128 bits AES128-SHA
>> Accepted SSLv3 128 bits CAMELLIA128-SHA
>> Accepted SSLv3 128 bits RC4-SHA
>> Accepted TLSv1 256 bits AES256-SHA
>> Accepted TLSv1 256 bits CAMELLIA256-SHA
>> Accepted TLSv1 168 bits DES-CBC3-SHA
>> Accepted TLSv1 128 bits AES128-SHA
>> Accepted TLSv1 128 bits CAMELLIA128-SHA
>> Accepted TLSv1 128 bits RC4-SHA
>>
>>
> Das ist schon klar und habe ich auch so konfiguriert.
> Nur habe ich hier teilweise noch alte Browser (IE6 "keinen Kommentar dazu") und die drehen sich hier im Kreis bei
> SSLv3.
> Diesen User wollte ich auf eine Infoseite umleiten, um sie neueren Version vom FireFox und IE hinzuweisen.
Stimmt nicht, ich habe exakt die Konfiguration oben auf allen
Servern im produktivbetrieb und da gibt es nicht das geringste
Problem mit SSL aus einer VM mit WinXP/IE6
Re: Redirect bei falscher SSL Version
Posted by Richard <ri...@34hack.net>.
Am 12.07.12 12:01, schrieb Reindl Harald:
>
> Am 12.07.2012 09:21, schrieb Richard:
>> Hallo zusammen,
>>
>> ich suche nach einer Lösung für ein SSL Problem.
>>
>> Ich möchte gerne Browser auf eine Infoseite umleiten, die versuchen eine
>> SSL-Verbindung mit einer Version kleiner SSLv3 oder TLSv1 auf zubauen.
>>
>> Dabei soll die Prüfung und Weiterleitung auf der Serverseite erfolgen und nicht auf der Clientseite.
>> Hat da jemand eine Idee bzw. geht so etwas.
> Nicht wirklich weil völlig falscher Ansatz
>
> Apache ordentlich konfigurieren dann akzeptiert er beim Handshake
> auch nur SSL3/TLS, alles andere lässt dich auch bei jedem
> Security-Audit mit Nessus etc. gandenlos durchfallen
>
> SSLProtocol All -SSLv2
> SSLInsecureRenegotiation Off
> SSLHonorCipherOrder On
> SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM:!SSLV2:!eNUL
>
> [root@openvas:~]$ sslscan rh.thelounge.net | grep Accepted
> Accepted SSLv3 256 bits AES256-SHA
> Accepted SSLv3 256 bits CAMELLIA256-SHA
> Accepted SSLv3 168 bits DES-CBC3-SHA
> Accepted SSLv3 128 bits AES128-SHA
> Accepted SSLv3 128 bits CAMELLIA128-SHA
> Accepted SSLv3 128 bits RC4-SHA
> Accepted TLSv1 256 bits AES256-SHA
> Accepted TLSv1 256 bits CAMELLIA256-SHA
> Accepted TLSv1 168 bits DES-CBC3-SHA
> Accepted TLSv1 128 bits AES128-SHA
> Accepted TLSv1 128 bits CAMELLIA128-SHA
> Accepted TLSv1 128 bits RC4-SHA
>
>
Das ist schon klar und habe ich auch so konfiguriert.
Nur habe ich hier teilweise noch alte Browser (IE6 "keinen Kommentar
dazu") und die drehen sich hier im Kreis bei SSLv3.
Diesen User wollte ich auf eine Infoseite umleiten, um sie neueren
Version vom FireFox und IE hinzuweisen.
---------------------------------------------------------------------
To unsubscribe, e-mail: users-de-unsubscribe@httpd.apache.org
For additional commands, e-mail: users-de-help@httpd.apache.org
Re: Redirect bei falscher SSL Version
Posted by Reindl Harald <h....@thelounge.net>.
Am 12.07.2012 09:21, schrieb Richard:
> Hallo zusammen,
>
> ich suche nach einer Lösung für ein SSL Problem.
>
> Ich möchte gerne Browser auf eine Infoseite umleiten, die versuchen eine
> SSL-Verbindung mit einer Version kleiner SSLv3 oder TLSv1 auf zubauen.
>
> Dabei soll die Prüfung und Weiterleitung auf der Serverseite erfolgen und nicht auf der Clientseite.
> Hat da jemand eine Idee bzw. geht so etwas.
Nicht wirklich weil völlig falscher Ansatz
Apache ordentlich konfigurieren dann akzeptiert er beim Handshake
auch nur SSL3/TLS, alles andere lässt dich auch bei jedem
Security-Audit mit Nessus etc. gandenlos durchfallen
SSLProtocol All -SSLv2
SSLInsecureRenegotiation Off
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM:!SSLV2:!eNUL
[root@openvas:~]$ sslscan rh.thelounge.net | grep Accepted
Accepted SSLv3 256 bits AES256-SHA
Accepted SSLv3 256 bits CAMELLIA256-SHA
Accepted SSLv3 168 bits DES-CBC3-SHA
Accepted SSLv3 128 bits AES128-SHA
Accepted SSLv3 128 bits CAMELLIA128-SHA
Accepted SSLv3 128 bits RC4-SHA
Accepted TLSv1 256 bits AES256-SHA
Accepted TLSv1 256 bits CAMELLIA256-SHA
Accepted TLSv1 168 bits DES-CBC3-SHA
Accepted TLSv1 128 bits AES128-SHA
Accepted TLSv1 128 bits CAMELLIA128-SHA
Accepted TLSv1 128 bits RC4-SHA