Re: [Poll] https nur mit AES?

[Philipp Schafft <lion@xxxxxxxxxxxxxxx>]

reflum,

On Wed, 2013-12-04 at 23:46 +0100, Alexander Holler wrote:
> Am 04.12.2013 23:28, schrieb Raphael Eiselstein:
> > On Wed, Dec 04, 2013 at 10:46:33PM +0100, Alexander Holler wrote:
> >> Am 04.12.2013 21:17, schrieb Raphael Eiselstein:
> >>> -------------------------------------------
> >>> SSLEngine on
> >>> SSLProtocol ALL -SSLv2
> >>> SSLCipherSuite AES256-SHA:AES128-SHA
> >>> SSLHonorCipherOrder On
> >>> -------------------------------------------
> >>
> >> Oeh, kein PFS?
> >
> > Welchen (vollstaendigen) String fuer SSLCipherSuite schlaegst Du vor?
> 
> K.A. was genau dein Ziel ist. Wenn du nur RC4 loswerden moechtest,
> wuerde 
> das beim Apache 2.2 z.B. damit gehen:
> 
> SSLCipherSuite HIGH:!ADH:!RC4

Generell moechte ich hier zustimmen.

Es ist _immer_ eine schlechte idee mit halbwissen an crypto systemen rum
zu pfuschen.

Auch das Festschreiben eines bestimten verfahrens ist in aller regel
sehr fatal: Was wenn uebernacht raus kommt das es gebrochen ist? Je nach
appliaktion ist 'einfach umstellen' nicht. Dies ist ganz allgemein meine
meinung, unabhaenig vom aktuellen problem: Es hat sich immer wieder fuer
schlecht herausgestellt statt dinge zu verbiden alles auser etwas
bestimtes zu verbiten. Dies war schon in der lebensmittelgesetzegung
schlecht, dies war schlecht bei loetzinn, dies war schlecht bei
Holzwirtschaft... dies ist auch schlecht im cryptographie bereich.

Generell rate ich im crypto bereich dazu ehr die defaults zu fahren wenn
man nicht weiss was man tut (auch wenn man sich ggf. einbildet dies zu
wissen). Sollte einem auffallen das ein veralteter standard weiter
verwendet wird (bsp. SSLv2) sollte man das upstream melden.

-- 
Philipp.
 (Rah of PH2)



-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/