Server poodle-dicht machen


#1

Ein herzliches Hallo an alle.

BelWü meldet uns immer wieder, dass unser Server nicht poodle-Dicht wäre.

Kann ich ohne Probleme SSLv2 und SSLv3 im Apache ausschalten? Mit z.B.

SSLProtocol All -SSLv2 -SSLv3

Oder kann es hier mit virtuellen VMs (z.B. XP im LeoClient) Probleme geben?

Wie habt ihr euren Server poodle-dicht bekommen?

Grüße
Marcus


#2

Hallo Marcus,

Kann ich ohne Probleme SSLv2 und SSLv3 im Apache ausschalten? Mit z.B.

SSLProtocol All -SSLv2 -SSLv3|

ich habe auf meinem webserver folgendes vor ein paar Jahren eingetragen
in der apache config der ssl Seiten:


HIB Poodle verhinderung

    SSLProtocol All -SSLv2 -SSLv3
            BrowserMatch "MSIE [2-6]" \
                            nokeepalive ssl-unclean-shutdown

downgrade-1.0 force-response-1.0
# MSIE 7 and newer should be able to use keepalive
BrowserMatch “MSIE [17-9]” ssl-unclean-shutdown

Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains" -- -- --

keine Ahnung ob das reicht ode noch Zeitgemäß ist.
Danach hat BelWü aufgehört mir mails zu schreiben.

Was schreiben die den: welche Dienste sind betroffen?
Was ist den bei euch von außen erreichbar?
horde3?
moodle?
Nextcloud?

Oder kann es hier mit virtuellen VMs (z.B. XP im LeoClient) Probleme geben?

wiso: haben die Netzwerkverbindungen?
Greifen die auf ssl Seiten des Servers zu die auch von außen Erreichbar
sind?
Normalerweise ist das ja nur horde3.

LG

Holger


#3

Hallo Holger,

>             SSLProtocol All -SSLv2 -SSLv3
> BrowserMatch "MSIE [2-6]" \
> nokeepalive ssl-unclean-shutdown

downgrade-1.0 force-response-1.0

MSIE 7 and newer should be able to use keepalive

BrowserMatch “MSIE [17-9]” ssl-unclean-shutdown

Header always set Strict-Transport-Security “max-age=15552000; includeSubDomains” – -- –

vielen Dank für die Zeilen. Wir haben eigentlich nur den linuxrechner offen fürs Internet. Also kein horde3, Moodle oder eine Nextcloud. Daher war mein erster Verdacht unsere Homepage auf BelWü. Jedoch ist es unlogisch, dass BelWü nicht poodle-Sicher ist.

Ich werde die Zeilen die nächsten Tage mal in die apache config der ssl-Seite reinschreiben, den apache neu starten und der Dinge, die dann kommen werden einfach harren.

wiso: haben die Netzwerkverbindungen?
Greifen die auf ssl Seiten des Servers zu die auch von außen Erreichbar
sind?
Normalerweise ist das ja nur horde3.

Dann kann verbieten wir mal poodle.

Grüße und vielen Dank,

Marcus