Ich versuche, in meinem Apache eine SSLCipherSuite einzurichten, die ALLE Diffie Hellman-Versuche vermeidet (aufgrund von Anwendungsbeschränkungen).
Ich habe versucht
SSLCipherSuite ALL:!DH:!DHE:!ADH:!ECDHE:!EXP:RC4+RSA:+HIGH:+MEDIUM:!SSLv2
aber das bekommt in SSLabs ein F.
Kennt jemand eine Suite, die eine bessere Note erzielen würde und gleichzeitig DH vermeidet?
Antwort1
SSL Labs gibt den Grund für die Bewertung klar an und Sie erhalten nur dann eine hohe Punktzahl, wenn Sie Diffie Hellman verwenden.
TLS_AES_256_GCM_SHA384
ist die einzige Ausnahme, die mir bekannt ist.