Zertifikaterstellung für HTTPS-Verbindung

[Cyclo1387]

Guten Abend,

ich habe über den Unterpunkt "Sicherheit" ein Zertifikat erstellt und selbst signiert. Zusätzlich habe ich http auf https umgeleitet. Wenn ich mich über das Internet auf die Diskstation einloggen möchte, sehe ich, dass es sich um eine verschlüsselte Verbindung gemäs:
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA handelt. Ist es möglich auch das entsprechende 256Bit-Pendant einzustellen? Hierzu finde ich nichts im Handbuch.

Vielen Dank für eure Hilfe!

 

[Frogman]

Welche Schlüssellängen verwendet werden, hängt zum einen davon ab, was Server und Client beherrschen, zum anderen davon, wie die beiden priorisieren.
Wenn Du das von DS-Seite vorgeben willst, kann Du das bspw. durch eine individuelle Cipher-Reihenfolge in der Datei /etc/httpd/conf/extra/httpd-ssl.conf-cipher tun, bspw. mit den Zeilen, die ich ähnlich auch selbst verwende (ich priorisiere immer noch 128bit):

SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite HIGH:!EXPORT:!eNULL:!aNULL:!DES:!RC4:!RC2:!MD5:!IDEA:!SEED:+AES256:+AES128:+CAMELLIA:!3DES:+kEECDH:+kRSA:!EDH:!aECDH:!aECDSA:!kECDHe:!SRP:!PSK

Dadurch ist jeweils die 256bit-Cipher der 128bit-Variante bevorzugt (ein ...:+AES128:+AES256:... macht das genau andersherum). Kann natürlich weiter angepaßt werden.
Allerdings solltest Du Dir keine großen Gedanken machen - AES128 ist auch aktuell und die nächste Zeit überaus sicher und dabei sehr viel performanter als die 256bit-Variante. Und wenn Du DHE-Schlüsseltausch auf Basis elliptischer Kurven machst (und damit mit Perfect Forward Secrecy, d.h. mit einem temporären Session-Key), kannst Du Dich umso mehr zurücklehnen.