Wie kann ich 128-Bit-Chiffren in Apache deaktivieren?

Question

Anstatt aufzulisten ALLund dann zu entfernen, was Sie nicht wollen, könnten Sie einfach die akzeptierten Cipher Suites auflisten, z. B.

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384

Außerdem sollten Sie sich nicht darauf konzentrieren, im SSL Labs-Test 100 % zu erreichen. Es gibt keine 100-prozentige Sicherheit, sondern nur Sicherheit gegen ein Risiko. Wie sieht Ihr Risikomodell aus? Wenn Sie sich auf Tests konzentrieren, kann Ihnen das sogar ein falsches Sicherheitsgefühl vermitteln. Der nützlichste Teil des Tests beginnt nach der Benotung. Dort können Sie einegeeigneter Kompromisszwischen Sicherheit und Kompatibilität. Sind Sie bereit, Besucher mit älteren Browsern zu verlieren, die keine Ihrer Cipher Suites unterstützen?

Answer 1

Anstatt aufzulisten ALLund dann zu entfernen, was Sie nicht wollen, könnten Sie einfach die akzeptierten Cipher Suites auflisten, z. B.

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384

Außerdem sollten Sie sich nicht darauf konzentrieren, im SSL Labs-Test 100 % zu erreichen. Es gibt keine 100-prozentige Sicherheit, sondern nur Sicherheit gegen ein Risiko. Wie sieht Ihr Risikomodell aus? Wenn Sie sich auf Tests konzentrieren, kann Ihnen das sogar ein falsches Sicherheitsgefühl vermitteln. Der nützlichste Teil des Tests beginnt nach der Benotung. Dort können Sie einegeeigneter Kompromisszwischen Sicherheit und Kompatibilität. Sind Sie bereit, Besucher mit älteren Browsern zu verlieren, die keine Ihrer Cipher Suites unterstützen?

Wie kann ich 128-Bit-Chiffren in Apache deaktivieren?

Antwort1

verwandte Informationen