11.7.8 Reverse-Proxy ECDHE

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
HaPe
Beiträge: 56
Registriert: Di 09.05.2017, 22:40

11.7.8 Reverse-Proxy ECDHE

Beitrag von HaPe »

Hallo,

hat jemand Erfahrung damit, wie ich den ECDHE-Schlüsselaustausch mit dem Reverse-Proxy in der 11.7.8 zum Laufen bekomme?

Als Cipher-Suite für den R-Proxy habe ich folgendes eingetragen:

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES256-GCM-SHA384:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK

Das funktioniert laut ssllabs.com auch soweit, abgesehen von den ECDHE-Suiten - die werden ignoriert, obwohl die verwendete Squid-Version diese eigentlich beherschen sollte.

Ein 2. Test gegen das Userinterface einer virtuellen TERRA-Cloud Firewall zeigt nämlich, dass fast alle Clients, die mit den oben genannten Einstellungen keine Verbindung zustande bringen sehr wohl funktionieren müssten, wenn die ECDHE-Suiten auch laufen... (und vor allem kann man dann die als Weak gekennzeichneten Suiten wie z.B. AES256-GCM-SHA384 auch noch rausschmeißen).
Was sich auch in einem glatten A-Rating anstatt B aufgrund dessen, dass z.B. IE 8-10 Win7 momentan die letzte RSA-Suite ohne Forward-Secrey anstatt der ECDHE-Suiten mit Forward Secrey verwendet, bemerkbar macht.

MfG,
HaPe

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

Hallo HaPe,
unser Support hilft Ihnen gern den ReverseProxy auf Elliptic-curve Diffie–Hellman umzustellen.
Machen Sie hierzu bitte ein Ticket über das Resellerportal auf.
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

Antworten