Dienstag, 30. Juli 2019, 07:07
A+ bei ssllabs.com für unsere Webhosting-Kunden
Der letzte Feinschliff ist gemacht, nun bekommen unsere Webhosting-Kunden (jetzt von einem der kostenlosen Let's Encrypt-Zertifikate ausgehend) ein A+ bei ssllabs.com:
Es hat minimal gedauert, und es hatte letztendlich auch mit der Migration zu Gentoo (eigentlich nur einer neueren Plattform ) zu tun.
Ich hoffe, es wird den ein oder anderen freuen
Es hat minimal gedauert, und es hatte letztendlich auch mit der Migration zu Gentoo (eigentlich nur einer neueren Plattform ) zu tun.
Ich hoffe, es wird den ein oder anderen freuen
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Avarion
Alexander Merz
Peter G.
Alexander Merz
Bert
TLS 1.3 No
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
und unterstützen bis auf den IE6 (den ich sehr verzichtbar finde) alle anderen simulierten Clients, auch Android bis runter zu 4.0.4.
Ich habe gerade letzte Woche das Thema Dual-Certificate in Apache entdeckt: Bei Letsencrypt kann man einen Schlüssel mit elliptischer Kurve zertifizieren lassen, der dann aber nur für neue Clients taugt (z.B. mit TLS 1.3). Wenn man aber mit dem gleichen Satz FQDN auch einen RSA-Schlüssel zertifizieren lässt, kann man Apache einfach beide Sätze (also jeweils privkey und fullchain) mitgeben, das sucht sich dann das jeweils zur Verbindung passende heraus. Vielleicht ist die Info mal für jemanden hilfreich
Hummerman
Und wer veraltete Geräte einsetzt, ist selber schuld.
Engywuck
Bisher aber ohne mich überzeugende Argumentation (oft nur "ist so"). In der DSGVO selber konnte ich auch nichts zwingendes finden (bin aber auch kein Jurist), nur schwammige Begriffe wie "eine angemessene Sicherheit der personenbezogenen Daten gewährleistet" (Art 5(1)f DSGVO). Auch Artikel 25(1) "Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen" fängt zwar mit "Unter Berücksichtigung des Stands der Technik," an (was eindeutig TLS 1.2 mit PFS bzw. inzwischen 1.3 erzwingen würde) - fährt dann aber fort mit "[unter Berücksichtigung] der Implementierungskosten [...]sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen "
Nicht einmal das BSI fordert zwingend TLS1.2:
"Werden in der Praxis noch TLS-Versionen eingesetzt, die älter sind als TLS 1.2 mit PFS (z. B. für Abwärtskompatibilität), stellt dies ein Risiko für die Informationssicherheit dar. Diese Fälle sind [...] im Rahmen des behördeneigenen Risikomanagements zu behandeln." -- Mindeststandard des BSI zur Verwendung von Transport Layer Security (TLS) v2.0, 2019
Anders formuliert: wenn man weiß, was man tut, ist TLS1.0 durchaus noch akzeptabel. Standard sollte aber natürlich 1.2 mit PFS sein!
Wenn man dann noch bedenkt, dass TLS1.2 in Win7 (noch Support bis Januar!) erst nachinstalliert und sogar in Win8 (inkl. Serverversionen) erst freigeschaltet werden muss...
Lucien