Toggle sidebar

Poodle / SSL Fallback deaktivieren

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
lefou

lefou

Benutzer
Registriert
07. Okt. 2014
Beiträge
25
Reaktionspunkte
0
Punkte
7
Hallo,

das Thema passt vielleicht nicht ausschliesslich nur hier, da mich aber primär die DownloadStation und der NZB-Download per SSL/TLS interessiert, poste ich es mal hier.

Hat jemand eine Ahnung, wie man den Fallback auf SSL unterbinden kann, wenn keine TLS-Verbindung aufgebaut werden kann?
Oder anders gefragt, wie deaktiviere ich SSL komplett auf meiner Synology?

Vielen Dank schon mal.
fou
 
lefou schrieb:
...da mich aber primär die DownloadStation und der NZB-Download per SSL/TLS interessiert, poste ich es mal hier.
...
Oder anders gefragt, wie deaktiviere ich SSL komplett auf meiner Synology?
Zum Vergrößern anklicken....
wieso willst du SSL deaktivieren wenn du primär am NZB DL per SSL/TLS intressiert bist??
 
jahlives schrieb:
wieso willst du SSL deaktivieren wenn du primär am NZB DL per SSL/TLS intressiert bist??
Zum Vergrößern anklicken....

Wenn die SSL/TLS-Session aufgebaut werden soll und mein Gegenüber aus welchem Grund auch immer mir kein TLS anbietet, wird SSL-Verbindung als Fallback ausgehandelt. Das möchte ich nicht.
Ich möchte sicherstellen, dass entweder eine TLS_verbindung zustandekommt oder gar keine.
 
SSLv3 gilt eigentlich als ausreichend sicher
 
das hat sich spätestens seit gestern Nacht geändert.

Google mal nach POODLE + ssl
 
Ich hatte es hier einmal angerissen... - und dort findet sich auch ein Link auf einen hiesigen Thread, wo Details zur Deaktivierung von SSLv3 zu finden sind.
 
Vielen Dank dafür, Frogman.

Der verlinkte Thread ist zwar ziemlich umfangreich, aber ich werd mich da mal reinlesen.
 
na ja Man-in-the-Middle sind auch mit TLS gefährlich. Downgrades sind auch mit TLS möglich und gerade bei TLSv1 hat es einige sehr schwache Ciphren darunter. So sind RC4 und Ciphren im CBC Mode auch bei TLSv1 vorhanden. Also was ist daran sicherer als bei SSLv3? Zudem erfordert diese Art des Angriffs einen Zugriff auf die Netze zwischen Client und Server. Der Voraussetzungen für einen solchen Angriff sind sehr hoch
 
Für die Deaktivierung von SSLv2 und SSLv3 reicht in den entsprechenden Konfig-Files ein
Code: 
SSLProtocol all -SSLv2 -SSLv3
Aber wenn man schon dabei ist, kann man eben die Ciphern, welche der Server überhaupt anbietet, gleich mal etwas priorisieren und ausdünnen (bspw. auch diejenigen mit CBC und SHA überdenken). @jahlives: Bzgl. Man-in-the-middle stimme ich Dir auch zu - dennoch sollte man unnötige Dinge deaktivieren (wie gesagt auch grundsätzlich RC4 und CBC). Und wirkliche Fortschritte werden, wie an anderer Stelle auch schon erwähnt, erst solche Dinge wie DANE bringen.
 
Hallo,

wo genau trage ich das ein, sprich welche Konfig Files?

Ich möchte die u.a. Kontaktaufnahme für mail verbessern.

Danke sehr.

PS: Syno 508 mit FW 4.0
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten