Hallo,
hat jemand Erfahrung damit, wie ich den ECDHE-Schlüsselaustausch mit dem Reverse-Proxy in der 11.7.8 zum Laufen bekomme?
Als Cipher-Suite für den R-Proxy habe ich folgendes eingetragen:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES256-GCM-SHA384:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
Das funktioniert laut ssllabs.com auch soweit, abgesehen von den ECDHE-Suiten - die werden ignoriert, obwohl die verwendete Squid-Version diese eigentlich beherschen sollte.
Ein 2. Test gegen das Userinterface einer virtuellen TERRA-Cloud Firewall zeigt nämlich, dass fast alle Clients, die mit den oben genannten Einstellungen keine Verbindung zustande bringen sehr wohl funktionieren müssten, wenn die ECDHE-Suiten auch laufen... (und vor allem kann man dann die als Weak gekennzeichneten Suiten wie z.B. AES256-GCM-SHA384 auch noch rausschmeißen).
Was sich auch in einem glatten A-Rating anstatt B aufgrund dessen, dass z.B. IE 8-10 Win7 momentan die letzte RSA-Suite ohne Forward-Secrey anstatt der ECDHE-Suiten mit Forward Secrey verwendet, bemerkbar macht.
MfG,
HaPe
11.7.8 Reverse-Proxy ECDHE
Moderator: Securepoint
Hallo HaPe,
unser Support hilft Ihnen gern den ReverseProxy auf Elliptic-curve Diffie–Hellman umzustellen.
Machen Sie hierzu bitte ein Ticket über das Resellerportal auf.
unser Support hilft Ihnen gern den ReverseProxy auf Elliptic-curve Diffie–Hellman umzustellen.
Machen Sie hierzu bitte ein Ticket über das Resellerportal auf.
Mit freundlichen Grüßen
David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de