Anscheinend unsicheres Zertifikat

Anscheinend ist das Zertifikat des Forums für https-Verbindungen unsicher. Angehängt habe ich nun zwei Screenshots der Meldung.


Ich kenne mich da wenig mit aus. Über eine Aufklärung freue ich mich sehr!

Ich ziehe alles wieder zurück, vor dem Abschicken der Nachricht habe ich die Seite mehrfach richtig aktualisiert, um vor dem Eröffnen dieses Themenstrangs sicher zu sein. Danach habe ich nochmal einen hard-refresh gemacht, jetzt wird mir wieder angezeigt, die Verbindung sei sicher. Habt ihr da gerade im Hintergrund dran gearbeitet?

PS: Das Thema lösche ich jetzt nicht. Sonst bricht noch mehr Verwirrung aus.

Das Zertifikat ist nicht unsicher!

Der Firefox meckert, dass irgendein Bilder, Javascript etc. von einem nicht-verschlüsseltem Server geladen wurde

Wir bekommen von SSL Labs eine „A“ Wertung.

Die einzige mögliche Verbesserung ist der Einsatz eines stärkeren Ciphers für die Signatur des Zertifikats. Bei der nächsten Erneuerung werde ich darauf achten. Jedoch ist unser derzeitiges Zertifikat noch bis November 2016 gültig.

Aber nur so gerade eben mit 80% beim Key Exchange. Grund dafür sind die zu kleinen Diffie-Hellman-Parameter. Im Endeffekt erkauft man PFS durch einen schlechteren Schlüsseltausch, als wenn man keinen DHE-Austausch fahren würde…
(Und 1 Bit weniger und das Rating würde auf „D“ abstürzen)

Die DH-Params sollten mindestens 2048 Bit haben. Auf eurem Server sind es im Moment 1024 Bit, das sind heutzutage schon ziemlich wenig.

Am besten einen neuen DHE-Pool generieren (ich hab mal für das optimale Ricer-Rating auf ssllabs 4096 Bits genommen, wenn man konservativer vorgehen möchte reichen 2048 natürlich auch):
openssl dhparam -out /etc/nginx/ssl/dhparam.pem 4096

Und dann nginx sagen, dass er diesen benutzen soll (in der selben server { clause wo auch die Ciphers definiert werden):
ssl_dhparam /etc/nginx/ssl/dhparam.pem;

Ist mir grade nur so aufgefallen. Wäre schnell gemacht und ist doch durchaus wichtig. Außerdem ohne Gewähr, ich terminiere TLS immer in haproxy :smiley:

1 Like