Ergebnis 1 bis 3 von 3
  1. #1
    Kunde Avatar von kairaven
    Registriert seit
    03.08.2016
    Beiträge
    3

    SSL Optionen in .htaccess?

    Ich habe mal in meine .htaccess Dateien gesetzt:

    Code:
    <IfModule mod_ssl.c>
      SSLProtocol ALL -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
      SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256
      SSLRequireSSL
    </IfModule>
    Ich würde gerne meine Websites nur per >= TLS 1.2 und mit den angegebenen Cipher-Suites anbieten Aber SSLProtocol geht gar nicht - ist allerdings auch in der Apache Doku nicht für .htaccess ausgewiesen - oder ginge das trotzdem/überhaupt im ManagedHosting bzw. einem anderen Account? Zu SSLCipherSuite wird zwar nicht "gemeckert", aber die Direktive wird laut Qualys auch nicht berücksichtigt - geht also auch nicht? Frage zu meiner Info, um zu wissen, was nicht geht oder zu machen ist. Wenn's nicht geht, kann ich auch damit leben.

  2. #2
    Forenexperte² (Reseller) Avatar von Enigma
    Registriert seit
    20.07.2001
    Beiträge
    17.684

    AW: SSL Optionen in .htaccess?

    Zitat Zitat von kairaven Beitrag anzeigen
    Aber SSLProtocol geht gar nicht - ist allerdings auch in der Apache Doku nicht für .htaccess ausgewiesen - oder ginge das trotzdem/überhaupt im ManagedHosting bzw. einem anderen Account?
    Nur dort, wo Du auch Zugriff auf die Server-Konfiguration hast. Bei DF also nur auf JiffyBoxen. Möglicherweise kannst Du DF auch zur Umkonfiguration eines ManagedServers (also eines dedizierten Servers, nicht im Shared Hosting) überreden, aber die Konfigurationsdateien werden da nicht gern angefasst.

    Zitat Zitat von kairaven Beitrag anzeigen
    Zu SSLCipherSuite wird zwar nicht "gemeckert", aber die Direktive wird laut Qualys auch nicht berücksichtigt - geht also auch nicht?
    Vielleicht bekommt es der Test auch nur nicht mit. In der Doku steht:

    Notice that this directive can be used both in per-server and per-directory context. In per-server context it applies to the standard SSL handshake when a connection is established. In per-directory context it forces a SSL renegotiation with the reconfigured Cipher Suite after the HTTP request was read but before the HTTP response is sent.
    Wenn also nur der Handshake ausgewertet wird, fehlt dem Test die Information, dass später eine Änderung stattfindet. Du bekämest dann keine hübsche Anzeige, würdest aber möglicherweise dennoch eine Verbesserung der Sicherheit erreichen. Wenn es nicht schadet, lass es also drin und schaue, ob Du auf andere Weise testen kannst, ob sich die Direktive auswirkt.

    Gruß,
    Jan
    Geändert von Enigma (09.02.2017 um 21:26 Uhr)
    Two hours of trial and error can save ten minutes of manual reading.

  3. #3
    Kunde Avatar von kairaven
    Registriert seit
    03.08.2016
    Beiträge
    3

    AW: SSL Optionen in .htaccess?

    Hi Enigma,
    Zitat Zitat von Enigma Beitrag anzeigen
    Nur dort, wo Du auch Zugriff auf die Server-Konfiguration hast.
    Dachte ich mir.

    Wenn also nur der Handshake ausgewertet wird, fehlt dem Test die Information, dass später eine Änderung stattfindet. Du bekämest dann keine hübsche Anzeige, würdest aber möglicherweise dennoch eine Verbesserung der Sicherheit erreichen. Wenn es nicht schadet, lass es also drin und schaue, ob Du auf andere Weise testen kannst, ob sich die Direktive auswirkt.
    Die anderen Testskripte (testssl.sh usw.) zeigen dasselbe. OK, lass ich es drin, auch wenn es nichts nützt

    Dank Dir für die Infos.

    Ciao
    Kai

Ähnliche Themen

  1. mit htaccess auf ssl verweisen
    Von workalholic im Forum htaccess
    Antworten: 36
    Letzter Beitrag: 21.07.2008, 20:04
  2. ssl über htaccess für xtcommerce
    Von Karl43 im Forum htaccess
    Antworten: 6
    Letzter Beitrag: 12.07.2008, 23:39
  3. htaccess Problem in Verb. mit SSL
    Von scream479 im Forum htaccess
    Antworten: 3
    Letzter Beitrag: 18.01.2006, 20:00
  4. SSL in Unterverzeichnis erzwingen / .htaccess
    Von chardonnay im Forum Scriptsprachen / SQL / Anwendungen
    Antworten: 5
    Letzter Beitrag: 04.05.2004, 11:00

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •