1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Netzverschlüsselung: Mythen über HTTPS

Https Sicherheits Test

  1. Thema

Neues Thema Ansicht wechseln


  1. Https Sicherheits Test

    Autor: Markus_T_witter 16.12.14 - 14:33

    Unter https://www.ssllabs.com/ssltest/analyze.html?d=www.google.de&s=74.125.239.55 findet man einen guten Sicherheitstest.
    Hier mal am Beispiel von google.de
    Wobei auch ich feststellen kann das man von heute auf morgen von Stufe A auf B fallen kann.
    Meine eigene Seite hatte vor Wochen noch A.



    1 mal bearbeitet, zuletzt am 16.12.14 14:33 durch Markus_T_witter.

  2. Re: Https Sicherheits Test

    Autor: RipClaw 16.12.14 - 17:25

    Markus_T_witter schrieb:
    --------------------------------------------------------------------------------
    > Unter www.ssllabs.com findet man einen guten Sicherheitstest.
    > Hier mal am Beispiel von google.de
    > Wobei auch ich feststellen kann das man von heute auf morgen von Stufe A
    > auf B fallen kann.
    > Meine eigene Seite hatte vor Wochen noch A.

    Meine hat A+. Allerdings auch nur weil ich Verschlüsselung via HSTS Header erzwinge.
    Ansonsten wäre es nur A.

    Zur Zeit die wichtigsten Regeln um auf A bzw. A+ zu kommen:

    * Mindestens OpenSSL 1.0 verwenden (wegen ECDHE Ciphers)
    * SSLv3 deaktivieren (wegen POODLE)
    * kein mod_pagespeed verwenden (hat eine veraltete OpenSSL Version integriert)
    * kein RC4 in der CipherSuite
    * möglichst überall Forward Secrecy einsetzen
    * SHA256 signiertes Zertifikat verwenden bei dem auch die komplette Chain mindestens mit SHA256 signiert wurde

    Eine gute Zusammenstellung von Ciphern findet man hier:

    https://wiki.mozilla.org/Security/Server_Side_TLS

    Ich verwende die Intermediate Cipher Suite. Zusammen mit dem HSTS Header kommt man damit auf A+

    Bei StartSSL bekommt man auch SHA256 signierte Zertifikate wenn die Zertifikatsanfrage auch mit SHA256 signiert wurde.
    Das benötigte Zwischenzertifikat findet man hier:

    https://www.startssl.com/certs/class1/sha2/pem/



    2 mal bearbeitet, zuletzt am 16.12.14 17:34 durch RipClaw.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Spezialist Stammdatenmanagement Betriebsmittel (m/w/d)
    DRÄXLMAIER Group, Vilsbiburg bei Landshut
  2. Informatiker als IT-Anwendungsbetreuer und fachlicher Abteilungsleitungsvertreter (d/m/w)
    DEGEWO AG, Berlin
  3. wWssenschaftliche Mitarbeiter:innen für die Forschungsgruppe AI Systems Engineering
    Universität Mannheim, Mannheim
  4. IT-Administrator (m/w/d)
    Dr. Beck & Partner GbR, Nürnberg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 599€
  2. 629,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de