Kann ich ohne Probleme SSLv2 und SSLv3 im Apache ausschalten? Mit z.B.
SSLProtocol All -SSLv2 -SSLv3|
ich habe auf meinem webserver folgendes vor ein paar Jahren eingetragen
in der apache config der ssl Seiten:
HIB Poodle verhinderung
SSLProtocol All -SSLv2 -SSLv3
BrowserMatch "MSIE [2-6]" \
nokeepalive ssl-unclean-shutdown
downgrade-1.0 force-response-1.0
# MSIE 7 and newer should be able to use keepalive
BrowserMatch „MSIE [17-9]“ ssl-unclean-shutdown
Header always set Strict-Transport-Security "max-age=15552000;
includeSubDomains"
-- -- --
keine Ahnung ob das reicht ode noch Zeitgemäß ist.
Danach hat BelWü aufgehört mir mails zu schreiben.
Was schreiben die den: welche Dienste sind betroffen?
Was ist den bei euch von außen erreichbar?
horde3?
moodle?
Nextcloud?
Oder kann es hier mit virtuellen VMs (z.B. XP im LeoClient) Probleme geben?
wiso: haben die Netzwerkverbindungen?
Greifen die auf ssl Seiten des Servers zu die auch von außen Erreichbar
sind?
Normalerweise ist das ja nur horde3.
Header always set Strict-Transport-Security „max-age=15552000; includeSubDomains“ – – –
vielen Dank für die Zeilen. Wir haben eigentlich nur den linuxrechner offen fürs Internet. Also kein horde3, Moodle oder eine Nextcloud. Daher war mein erster Verdacht unsere Homepage auf BelWü. Jedoch ist es unlogisch, dass BelWü nicht poodle-Sicher ist.
Ich werde die Zeilen die nächsten Tage mal in die apache config der ssl-Seite reinschreiben, den apache neu starten und der Dinge, die dann kommen werden einfach harren.
wiso: haben die Netzwerkverbindungen?
Greifen die auf ssl Seiten des Servers zu die auch von außen Erreichbar
sind?
Normalerweise ist das ja nur horde3.