Perfect Forward Secrecy - Synology DS?

  • Lange schon haben wir uns gewünscht, diese Mitteilung veröffentlichen zu können. Seit langer Zeit planen wir den Umzug auf neue Server und nun ist es geschafft. Um euch einen Einblick hinter die Kulissen zu geben haben wir einen extra Beitrag geschrieben:

    Das Forum hat eine neue Heimat bei netcup gefunden

    Wir möchten uns ganz herzlich bei netcup bedanken! necup stellt uns die neuen Server. Schaut mal in unsere Beiträge, was sich durch den Umzug alles verbessert hat.

drago

Benutzer
Mitglied seit
17. Jun 2008
Beiträge
308
Punkte für Reaktionen
0
Punkte
0
Hi,

ich bekomme zwei Fehler, wenn ich dein Code verwende.
 

Anhänge

  • Ohne Titel.jpg
    Ohne Titel.jpg
    23,8 KB · Aufrufe: 131

Buntbaer2001

Benutzer
Mitglied seit
29. Dez 2009
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Das ist kein Fehler, das ist Absicht. :rolleyes:

ICH möchte keinen User mit Windows XP mehr auf meiner Synology...

Gruß
Peter
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
4
Punkte
414
Das ist kein Fehler, das ist Absicht. :rolleyes:

ICH möchte keinen User mit Windows XP mehr auf meiner Synology...
Die Verwirrung hast Du wohl mit Deiner Äußerung gestiftet, Du bekämst mit Deiner Einstellung "jetzt mit ALLEN von SSLLabs getesteten Browsern die Forward Secrecy angezeigt" ;)
 

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
3
Punkte
0

Buntbaer2001

Benutzer
Mitglied seit
29. Dez 2009
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Die Russen? Nö. :)

Aber wie schon geschrieben: Kann ja jeder halten wie er will. Einfach die entsprechenden Cipher- und Verschlüsselungen aktivieren...
Jeder ist ja für seinen Server und seine Security selbst verantwortlich.

Mir ging es primär ja darum zu zeigen, das FS mit IE sehr wohl auch bei Synology möglich ist (wenn dann auch nicht mit XP).
Und wenn jemand will, kann er ja auch noch SSL3 und RSA mit RC4 zulassen, damit dann XP und Yandex auch gehen.
Jedem das seine.

Gruß
Peter
 

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
3
Punkte
0
wieso wird eigentlich bei deinem Screenshot nicht in grün angezeigt, dass FS mit allen Referenzbrowsern geht? Sollte eigentlich dort stehen. Kann es sein, dass die bei einem oder mehreren Referenzclients doch kein FS hast?
Yandex und IE6 XP hallte ich auch draussen. Allerdings erlaube ich IE8 und XP noch :)
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
4
Punkte
414
Mir ging es primär ja darum zu zeigen, das FS mit IE sehr wohl auch bei Synology möglich ist (wenn dann auch nicht mit XP).
Das liegt aber nur am Apache - die Version 2.2.26 (die nun endlich ECDH beherrscht) in der DSM-5.0 liefert mir das jetzt auch.
Hier daher jetzt die ECDHE-Ciphern noch etwas höher priorisiert:
Rich (BBCode):
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-GCM-SHA384:DHE-DSS-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-DSS-AES128-GCM-SHA256:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:ECDH-RSA-AES256-GCM-SHA384:ECDH-ECDSA-AES256-GCM-SHA384:ECDH-RSA-AES256-SHA384:ECDH-ECDSA-AES256-SHA384:ECDH-RSA-AES128-GCM-SHA256:ECDH-ECDSA-AES128-GCM-SHA256:ECDH-RSA-AES128-SHA256:ECDH-ECDSA-AES128-SHA256:ECDH-RSA-AES256-SHA:ECDH-ECDSA-AES256-SHA:ECDH-RSA-AES128-SHA:ECDH-ECDSA-AES128-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA

EDIT:
Sogar mit grünem "FS mit Referenzbrowsern - ROBUST" ;)

screen1.jpg
screen2.jpg
screen3.jpg
screen5.jpg
screen4.jpg
 
Zuletzt bearbeitet:

maku

Benutzer
Mitglied seit
24. Sep 2011
Beiträge
28
Punkte für Reaktionen
0
Punkte
1
Hallo Frogman,

mit den identischen Einstellungen von dem von dir genannten Post bekomme ich "nur" A-, da bei dem Test bei mir der IE11 als Referenzbrowser "no fs" lieferte....! Allerdings lief mein Test auch gegen einen vhost (für reverse proxy).....
Hast du eine Idee woran das liegen könnte?

Rich (BBCode):
NameVirtualHost *:443

<IfDefine SSL>
<VirtualHost *:443>
   ServerName dsm.tolledomain.de
   SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.crt
   SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.key
   SSLEngine on
   SSLProxyEngine on
   ProxyRequests Off
   ProxyVia Off
   <Proxy *>
       Order deny,allow
       Allow from all
   </Proxy>
   ProxyPass / http://localhost:5000/
   ProxyPassReverse / http://localhost:5000/
   </VirtualHost>
</IfDefine>

Die von dir beschriebenen Änderungen habe ich in den Dateien httpd-alt-port-ssl-setting.conf und httpd-ssl.conf-common umgesetzt.

Rich (BBCode):
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDH-RSA-AES256-GCM-SHA384:ECDH-ECDSA-AES256-GCM-SHA384:ECDH-RSA-AES256-SHA384:ECDH-ECDSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-GCM-SHA384:DHE-DSS-AES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-DSS-AES128-GCM-SHA256:DHE-DSS-AES128-SHA256:ECDH-RSA-AES128-GCM-SHA256:ECDH-ECDSA-AES128-GCM-SHA256:ECDH-RSA-AES128-SHA256:ECDH-ECDSA-AES128-SHA256:AES128-GCM-SHA256:AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:ECDH-RSA-AES256-SHA:ECDH-ECDSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDH-RSA-AES128-SHA:ECDH-ECDSA-AES128-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DES-CBC3-SHA
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
4
Punkte
414
Dann verwende mal:
Rich (BBCode):
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-GCM-SHA384:DHE-DSS-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-DSS-AES128-GCM-SHA256:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:ECDH-RSA-AES256-GCM-SHA384:ECDH-ECDSA-AES256-GCM-SHA384:ECDH-RSA-AES256-SHA384:ECDH-ECDSA-AES256-SHA384:ECDH-RSA-AES128-GCM-SHA256:ECDH-ECDSA-AES128-GCM-SHA256:ECDH-RSA-AES128-SHA256:ECDH-ECDSA-AES128-SHA256:ECDH-RSA-AES256-SHA:ECDH-ECDSA-AES256-SHA:ECDH-RSA-AES128-SHA:ECDH-ECDSA-AES128-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA

Da sind die ECDHE höher priorisiert, hab's oben auch mal geändert.
 

maku

Benutzer
Mitglied seit
24. Sep 2011
Beiträge
28
Punkte für Reaktionen
0
Punkte
1
ändert bei mir nichts...im Gegensatz zu deinem Testergebnis sieht meins so aus:

Unknown.jpg
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
4
Punkte
414
Das sind aber exakt die Prio's für mein obiges Resultat - dann hast Du noch irgendwo den Wurm drin.
 

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
3
Punkte
0
@Frogman
nur so aus Neugier:wieso hört deine Liste bei openssl auf? Da sollten doch noch die Safaries und der Yandex kommen. Oder hast du dein Bild zusammengestellt aus einzelnen Screenies?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
4
Punkte
414
yep, habe mit Irfanview "fotografiert"... alles bis auf Yandex folgt noch mit FS.

EDIT:
so, hab's oben nochmal vervollständigt :)
 
Zuletzt bearbeitet:

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
3
Punkte
0
alles klar :) dachte schon was für eine uralt Version von ssllabs hat der da ;-) ;-)
Weitere Frage aus reiner Neugier. Schonmal das folgende in der Apache Konf versucht?
Code:
Header add Strict-Transport-Security "max-age=15768000"
weiss ned ob das die 2.2-er Versionen auch können, aber wenn ja sollte eine Note höher drinliegen :)

Gruss

tobi
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
4
Punkte
414
Hey jahlives, Du bist klasse... :) - vielen Dank!
Hab's erweitert mit
Rich (BBCode):
Header add Strict-Transport-Security "max-age=15768000;includeSubDomains"
und das Ergebnis:

Zwischenablage01.jpg
 

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
3
Punkte
0
@frogman
pass aber auf mit includeSubDomains wenn du noch was unter dieser Domain mit HTTP haben willst ;-)
 

Buntbaer2001

Benutzer
Mitglied seit
29. Dez 2009
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
wieso wird eigentlich bei deinem Screenshot nicht in grün angezeigt, dass FS mit allen Referenzbrowsern geht? Sollte eigentlich dort stehen. Kann es sein, dass die bei einem oder mehreren Referenzclients doch kein FS hast?
Yandex und IE6 XP hallte ich auch draussen. Allerdings erlaube ich IE8 und XP noch :)

Ich vermute das liegt daran (siehe auch bei Frogman einen Post nach dir), dass wir eben bei XP und Yandex ein Fail bekommen...
 

Buntbaer2001

Benutzer
Mitglied seit
29. Dez 2009
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
NAS-Central - Ihr Partner für NAS Lösungen