Sephley
diff --git a/‎docs/tls/aufgaben/nginx.md
Lines changed: 15 additions & 3 deletions b/‎docs/tls/aufgaben/nginx.md
Lines changed: 15 additions & 3 deletions
diff --git a/‎docs/tls/aufgaben/vergleich.md
Lines changed: 12 additions & 4 deletions b/‎docs/tls/aufgaben/vergleich.md
Lines changed: 12 additions & 4 deletions
diff --git a/‎docs/tls/images/ssllabs-www-sephley-2.png
21.3 KB b/‎docs/tls/images/ssllabs-www-sephley-2.png
21.3 KB
diff --git a/‎docs/tls/images/suite.png
7.15 KB b/‎docs/tls/images/suite.png
7.15 KB
@@ -25,7 +25,8 @@ server {
         server_name www.sephley.home;
         ssl_certificate www.sephley.home.crt;
         ssl_certificate_key www.sephley.home.key;
-        ssl_ciphers TLS_AES_256_GCM_SHA384;
+        ssl_protocols TLSv1.2 TLSv1.3;
+        ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305;
 
         root /var/www/html;
 
@@ -50,7 +51,18 @@ openssl req -x509 -key www.sephley.com.key -in csr.pem -out www.sephley.home.crt
 ![self-signed-cert](../images/self-sigend-cert.png)
 
 ## Reflexion
-Da ich dies schon mehrmals im Geschäft machen musste, war mir der Ablauf schon bekannt.
+Da ich dies schon mehrmals machen musste, war mir der Ablauf schon bekannt.
 
 Als ich dies originell aufgesetzt habe, habe ich die Ciphers nicht beachtet. Ich habe jedoch bei dem [Vergleich mit anderen](vergleich.md) gemerkt, dass dies sinnvoll wäre.  
-Deshalb habe ich `ssl_ciphers TLS_AES_256_GCM_SHA384;` in der config spezifiziert.
+Deshalb habe ich `ssl_ciphers TLS_AES_256_GCM_SHA384;` in der config spezifiziert.
+
+**ACHTUNG!** Die cipher `TLS_AES_256_GCM_SHA384` hat nicht funktioniert, weil es von nginx nicht erkannt wird. Es ist aber eine valide cipher, dies habe ich wie folgt geprüft:
+
+![suite](../images/suite.png)
+
+Ich versuchte, TLS 1.3 zu erzwingen, dies hat aber nichts genützt.
+
+Ich habe schlussendlich gelöst, indem ich auf die empfohlenen Ciphers von Mozilla gewechselt habe:
+```
+ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305;
+```
@@ -14,11 +14,12 @@ Für jeden der folgenden Domänen habe ich den "SSL Server Test" von SSL Labs au
 | <https://garantibank.nl>| 1.2 - 1.3| [A+](https://www.ssllabs.com/ssltest/analyze.html?d=garantibank.nl)|
 |--|--|--|
 | <https://sephley.github.io/docs>| 1.2 - 1.3| [A](https://www.ssllabs.com/ssltest/analyze.html?d=sephley.github.io)|
-| <https://www.sephley.com>| 1.2 - 1.3| [T (A wenn es trusted wäre)](https://www.ssllabs.com/ssltest/analyze.html?d=www.sephley.com)|
+| <https://www.sephley.com>(ohne spezifizierte ciphers)| 1.2 - 1.3| [T (A wenn es trusted wäre)](https://www.ssllabs.com/ssltest/analyze.html?d=www.sephley.com)|
+| <https://www.sephley.com>(mit spezifizierten ciphers)| 1.2 - 1.3| [T (A wenn es trusted wäre)](https://www.ssllabs.com/ssltest/analyze.html?d=www.sephley.com)|
 
 ## Reflexion
 Was bei meinen Webseiten zum A anstatt A+ geführt hat sind die Ciphers.  
-Beispielsweise ist mir aufgefallen, das mein selbst-signiertes Zertifikat <https://www.sephley.com> schwächere Ciphers verwendet als <https://olat.bbw.ch>.
+Beispielsweise ist mir aufgefallen, das mein selbst-signiertes Zertifikat <https://www.sephley.com> schwächere Ciphers unterstützt als <https://olat.bbw.ch>.
 
 ><https://olat.bbw.ch>
 
@@ -31,5 +32,12 @@ Beispielsweise ist mir aufgefallen, das mein selbst-signiertes Zertifikat <https
 Bei der Erstellung des private keys habe ich nicht darauf geachtet, welche ciphers ich verwende.  
 Falsch, das spezifiziert man nicht bei der Erstellung des private keys sondern bei dem Webserver. in meinem Fall musste ich also meine Nginx config anpassen:
 ```
-ssl_ciphers TLS_AES_256_GCM_SHA384;
-```
+ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305;
+```
+Danach sah das Resultat besser aus:
+
+><https://www.sephley.com>
+
+![www-sephley-ciphers-2](../images/ssllabs-www-sephley-2.png)
+
+Allerdings war der Score von SSL Labs immer noch bei A.