Skip to content

A+ bei ssllabs.com für unsere Webhosting-Kunden

Der letzte Feinschliff ist gemacht, nun bekommen unsere Webhosting-Kunden (jetzt von einem der kostenlosen Let's Encrypt-Zertifikate ausgehend) ein A+ bei ssllabs.com:


Es hat minimal gedauert, und es hatte letztendlich auch mit der Migration zu Gentoo (eigentlich nur einer neueren Plattform ;-) ) zu tun.
Ich hoffe, es wird den ein oder anderen freuen :-D

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Avarion

Gute Arbeit!

Alexander Merz

Tipp für euren Support: Wenn Ihr Anfragen eurer Kunden herein bekommt, warum deren HTTPS-Seiten nicht mehr von älteren Geräten aufgerufen werden können, dann liegt das daran.

Peter G.

Vielleicht sollten sie ihre Systeme mal ein klein wenig Aktualisieren? Selbst mit dem AWeb (aus 2006) auf einen Amiga klappt das aufrufen fast ohne Probleme (Bilder werden mir nie angezeigt, auch ohne ssl nicht...):

https://images.nsa2go.de/privat/aweb_amiga_2006.png

Alexander Merz

Ich schrieb nicht, dass alle alten Geräte nicht funktionieren. Für ein A+-Rating muss man aber serverseitig eine ganze Reihe alter Protokoll-Versionen&Co raushauen. Damit haben unter anderem ältere Android-Geräte ein Problem. Und, nein, meinen Webseiten-Besuchern hilft es Null, wenn ich mein Smartphone aktuell halten kann und will. Und es steht mir auch nicht zu, darüber zu urteilen, warum die Besucher sich keine neuen Geräte leisten wollen oder können.

Bert

Man kann A+ auch bekommen, wenn man noch TLS 1.0 und 1.1 sowie einige ältere Codes dafür unterstützt. Z.B. zu sehen bei ept.edldata.lu (war gerade einer der zuletzt geprüften Hosts mit A+): Die haben
TLS 1.3 No
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
und unterstützen bis auf den IE6 (den ich sehr verzichtbar finde) alle anderen simulierten Clients, auch Android bis runter zu 4.0.4.

Ich habe gerade letzte Woche das Thema Dual-Certificate in Apache entdeckt: Bei Letsencrypt kann man einen Schlüssel mit elliptischer Kurve zertifizieren lassen, der dann aber nur für neue Clients taugt (z.B. mit TLS 1.3). Wenn man aber mit dem gleichen Satz FQDN auch einen RSA-Schlüssel zertifizieren lässt, kann man Apache einfach beide Sätze (also jeweils privkey und fullchain) mitgeben, das sucht sich dann das jeweils zur Verbindung passende heraus. Vielleicht ist die Info mal für jemanden hilfreich :-)

Hummerman

Nach DSGVO ist nur TLS 1.2 und höher zulässig. Daher kann man TLS 1.0 und 1.1 vernachlässigen.
Und wer veraltete Geräte einsetzt, ist selber schuld.

Engywuck

Das mit "nur TLS 1.2 zulässig" liest man immer mal wieder.
Bisher aber ohne mich überzeugende Argumentation (oft nur "ist so"). In der DSGVO selber konnte ich auch nichts zwingendes finden (bin aber auch kein Jurist), nur schwammige Begriffe wie "eine angemessene Sicherheit der personenbezogenen Daten gewährleistet" (Art 5(1)f DSGVO). Auch Artikel 25(1) "Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen" fängt zwar mit "Unter Berücksichtigung des Stands der Technik," an (was eindeutig TLS 1.2 mit PFS bzw. inzwischen 1.3 erzwingen würde) - fährt dann aber fort mit "[unter Berücksichtigung] der Implementierungskosten [...]sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen "

Nicht einmal das BSI fordert zwingend TLS1.2:
"Werden in der Praxis noch TLS-Versionen eingesetzt, die älter sind als TLS 1.2 mit PFS (z. B. für Abwärtskompatibilität), stellt dies ein Risiko für die Informationssicherheit dar. Diese Fälle sind [...] im Rahmen des behördeneigenen Risikomanagements zu behandeln." -- Mindeststandard des BSI zur Verwendung von Transport Layer Security (TLS) v2.0, 2019

Anders formuliert: wenn man weiß, was man tut, ist TLS1.0 durchaus noch akzeptabel. Standard sollte aber natürlich 1.2 mit PFS sein!

Wenn man dann noch bedenkt, dass TLS1.2 in Win7 (noch Support bis Januar!) erst nachinstalliert und sogar in Win8 (inkl. Serverversionen) erst freigeschaltet werden muss...

Lucien

Gut gemacht!

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen