1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Diffie-Hellman: Unsinnige…

Erst in der jüngsten Version 2.4.7 verfügt Apache [...]

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Erst in der jüngsten Version 2.4.7 verfügt Apache [...]

    Autor: linus9000 07.03.14 - 08:22

    "Vor allem der Apache-Webserver hat aber dafür gesorgt, dass ein derartig kurzer Schlüsselaustausch nach wie vor weit verbreitet ist. Erst in der jüngsten Version 2.4.7 verfügt Apache über die Möglichkeit, einen Schlüsselaustausch mit größeren Primzahlen durchzuführen."

    Sry, aber das ist nicht korrekt. Indem ich die DH-Parameter in die .crt-Datei eingebunden habe konnte ich auch mit Apache 2.2.22 einen Schlüsselaustausch mit 4096 Bit erzwingen. Siehe https://community.qualys.com/blogs/securitylabs/2013/08/05/configuring-apache-nginx-and-openssl-for-forward-secrecy#comment-3656

  2. Re: Erst in der jüngsten Version 2.4.7 verfügt Apache [...]

    Autor: hab (Golem.de) 07.03.14 - 11:40

    Ich hab das gerade extra nochmal selbst mit einem apache 2.2 getestet. Tut bei mir nicht.

    Würde mich aber interessieren: Was für ein apache ist das bei Dir? Selber kompiliert oder von einer Distribution? Ist der entsprechende Server öffentlich erreichbar, so dass ich das mal sehen kann?

    Eventuell hat irgendeine Distribution da Patches zurückportiert.

  3. Re: Erst in der jüngsten Version 2.4.7 verfügt Apache [...]

    Autor: linus9000 07.03.14 - 11:57

    Der entsprechende Server existiert leider nicht mehr, allerdings ist es richtig, dass meine Version des 2.2.22 (normal aus Ubuntu Precise, keine PPA) da nichts ausspuckt. Das Problem scheint hier aber dann zu sein, dass es keine DH(E)-fähigen Ciphersuites gibt, die der Apache da nutzen kann.. Dementsprechend wäre meine aussage über den 2.2.22 falsch, muss ich zugeben, der Grund wäre dann jedoch ein anderer. Denn wo kein DH-Austausch, da keine großen Primzahlen.. Wenn dir eine Ciphersuite mit DH-austausch bekannt ist, die in Apache 2.2 funktioniert teste ich die gerne nochmal mit!

  4. Re: Erst in der jüngsten Version 2.4.7 verfügt Apache [...]

    Autor: hab (Golem.de) 07.03.14 - 12:41

    Apache 2.2 sollte kein Problem mit DHE-ciphersuites haben. Nur die ECDH-sachen sind in 2.4 dazugekommen, aber das ist ja ne andere Baustelle.

    Mein Test-Apache 2.2 kann bspw:
    TLS_DHE_RSA_WITH_AES_128_CBC_SHA
    TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA
    TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
    TLS_DHE_RSA_WITH_AES_256_CBC_SHA
    TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA
    TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
    TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  5. Re: Erst in der jüngsten Version 2.4.7 verfügt Apache [...]

    Autor: linus9000 07.03.14 - 16:30

    Alles klar, Kommando zurück! Geht tatsächlich nicht. Offensichtlich habe ich da mit dem 2.4 getestet.. In dem Fall kann ich nur noch um Verzeihung bitten :/

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Mitarbeiter IT Support (m/w/d)
    ALDI SÜD, Aichtal
  2. Unix-Systemadministrator*in (m/w/d)
    IPB Internet Provider in Berlin GmbH, Berlin
  3. Software Developer Embedded Microcontroller (m/w/d)
    BEDIA Motorentechnik GmbH & Co. KG, Nürnberg
  4. Product Owner (m/w/d)
    Bauerfeind AG, Jena, Zeulenroda-Triebes

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 7 5800X für 469€)
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Superbooth: Technikparadies für Musiknerds
Superbooth
Technikparadies für Musiknerds

Von klassischen E-Pianos bis zu Musikstudios in DIN-A5: Bei der Synthesizer-Messe Superbooth haben Hersteller zum Ausprobieren eingeladen.
Ein Bericht von Daniel Ziegener


    Linux: Nvidias große schöne Open-Source-Schummelei
    Linux
    Nvidias große schöne Open-Source-Schummelei

    Die Kunden nerven, die Konkurrenz legt vor und die Linux-Entwickler bleiben hart. Das führt zu einem Wandel bei Nvidia, der gerade erst anfängt.
    Eine Analyse von Sebastian Grüner

    1. Linux-Kernel Netfilter-Bug gibt Nutzern Root-Rechte
    2. Linux Kernel-Hacker veröffentlichen Richtlinie für Forschung
    3. Dirty Pipe Linux-Kernel-Lücke erlaubt Schreibzugriff mit Root-Rechten

    Kampf gegen Kindesmissbrauch: Die wichtigsten Antworten zur Chatkontrolle
    Kampf gegen Kindesmissbrauch
    Die wichtigsten Antworten zur Chatkontrolle

    Was steckt genau hinter den Plänen der EU-Kommission zur Chatkontrolle und wie gefährlich wäre deren Umsetzung?
    Von Friedhelm Greis und Moritz Tremmel

    1. Recht auf Verschlüsselung Wissing beunruhigt über Pläne zur Chatkontrolle
    2. Überwachung Petition gegen Chatkontrolle
    3. SPD gegen FDP Ampelkoalition uneins bei Chatkontrolle