Well-known DH parameters in LiveConfig 2.0.1-r3988

  • Hallo,


    ich habe aktuell das Problem, dass HTTPS (443) und HTTPS (8443) noch mit bekannten DH fahren.


    u.a. geprüft mit SSL-Check von LiveConfig:


    8443:

    Code
    DH parameters (MD5): 97138d188212160fb1004726465276ad
    Well-known DH parameters (LiveConfig default >=1.9.0)


    443:

    Code
    DH parameters (MD5): d2fa2c43aa66be579b9ed9f6ff52c690
    Well-known DH parameters (Apache default)



    Laut changelog sollte dies aber nicht mehr der fall sein. Was kann ich tun?
    Leider ratet SSLLABS alle HTTPs Seiten nun auf B!



    Apache 2.2.22 (2.2.22-13+deb7u6)
    Debian GNU/Linux 7.9 (Wheezy)


    viele Grüße

  • Bis zum 7.1 ist geschlossen .. Weihnachtsurlaub. Siehe Newsletter.


    Ich finde es immer gut, solche Informationen auch ohne die Zwangsanmeldung am Newsletter zu sehen.


    Aber vielen dank für die Information.


    Zumal mein Ticket vom 17.12. ist und laut Ankündigung im Forum erst ab 31.12. die Rollläden unten waren.


    Dann warte ich mal gespannt auf den 07.01.

  • Bezüglich den DH Params wurde etwas angekündigt, aber noch nicht umgesetzt. Es soll auf längere Sicht "custom" generierte DH Keys geben, die des öfternen(1mal pro Monat oder so) im Hintergrund neu generiert werden.

  • Bezüglich den DH Params wurde etwas angekündigt, aber noch nicht umgesetzt. Es soll auf längere Sicht "custom" generierte DH Keys geben, die des öfternen(1mal pro Monat oder so) im Hintergrund neu generiert werden.



    danke Nosxxx für die info.
    Gibt es denn einen manuellen Fix dafür ohen liveconfig durcheinander zu bringen?

  • Seit Version 1.9.1-r3707 fügt LiveConfig individuelle DH-Parameter an die jeweilige Zertifikatsdatei hinzu. Debian Wheezy unterstützt das seit Apache 2.2.22-13+deb7u4.


    Mit anderen Worten: eigentlich sollten da aktuelle (nicht allgemeinbekannte) DH-Parameter mit ausgeliefert werden. Wenn das noch nicht der Fall ist, prüfen Sie bitte mal folgende Schritte:
    1.) öffnen Sie die Datei /etc/apache2/sites-available/<Vertrag>.conf. Suchen Sie dort nach "SSLCertificateFile".
    2.) öffnen Sie die angegebene Zertifikats-Datei (/etc/ssl/certs/[...].crt). Dort sollte erst das Zertifikat stehen ("---BEGIN CERTIFICATE ..."), danach ein Abschnitt mit DH-Parametern ("# custom DH parameters...").


    Falls dort keine DH-Parameter stehen, prüfen Sie bitte ob die Datei /etc/apache2/dhparam.pem existiert. Falls nicht, geben Sie bitte Bescheid.
    Wenn die Datei existiert, speichern Sie den Webhosting-Vertrag in LiveConfig neu (z.B. indem Sie irgendeine Subdomain-Einstellung für diesen Vertrag neu speichern). Damit sollte u.a. die /etc/apache2/sites-available/<Vertrag>.conf neu geschrieben werden, also auch die o.g. SSL-Zertifikats-Datei. Diese sollte dann eigentlich auch die (neuen) DH-Parameter enthalten.


    Viele Grüße


    -Klaus Keppler

  • Hallo,


    ich hab jetzt mal eine betroffene Domain verändert (subdomain).
    Augenscheinlich hat sich hier nichts geändert.


    SSLLAB markiert immer noch auf B und der Liveconfig SSL Check schreibt bei allen Checks außer bei FTPES (21), SMTP (25) und HTTPS (8443) ein Warning.



    Ich denke mal es liegt an dem "DH parameters" der nur "1024 bits" ist.


    meine beiden oberen Fehler:


    8443:


    Code
    DH parameters (MD5): 97138d188212160fb1004726465276ad
    Well-known DH parameters (LiveConfig default >=1.9.0)



    443:


    Code
    DH parameters:	1024 bits 
    DH parameters (MD5): d2fa2c43aa66be579b9ed9f6ff52c690
    Well-known DH parameters (Apache default)


    sind weiterhin gegeben.


    ps: die DH Parameter Datei existiert.
    Auch in den Zertifikaten sind diese enthalten, ich vermute das die Datei dhparam.pem zu alt ist?


    Code
    /etc/apache2/sites-available# ls -lsah /etc/apache2/dhparam.pem
    4.0K -rw-r----- 1 root root 867 Sep 16 20:55 /etc/apache2/dhparam.pem
  • Hallo,


    schicken Sie bitte mal die Ausgabe von "liveconfig --diag" (der Abschnitt rund um Apache genügt) sowie den Namen der betroffenen Subdomain an support@liveconfig.com - ich würde mir gerne mal den konkreten Fall anschauen.
    Auf unseren Systemen mit Debian Wheezy nutzt Apache überall 2048-Bit DH-Parameter (die auch nicht allgemein bekannt sind)...

  • Hallo, bei uns kommt diese Meldung bei folgenden Diensten: POP3, IMAP, SMTPS, Submission, IMAPS, POP3S


    Alle configs wurden bereits neu erstellelt via liveconfig Routine, jedoch anschließend unverändert der 1024 statt 2048er DH Wert. Wie können wir diesen anpassen?


    Wir haben dazu ebenfalls ein Ticket mit der Nummer [LC#2016031134000041] Re: dh parameter
    erstellt.


    MfG

  • Heute ist der 18.03.2016 und noch immer keine Reaktion. :(


    Schade, liebes LiveConfig-Team, Professioneller Support sieht echt anders aus!!!


    Aber mich wundert zwischenzeitlich nichts mehr, das scheint hier bei vielen Problemen/Anliegen so zu sein.

  • Ich werde ich darum kümmern, dass die o.g. Anfragen am Montag bearbeitet werden (ab da ist unser Büro wieder voll besetzt).


    Die häufigsten Ursachen für Probleme sind:
    - Debian 6 wird noch verwendet (dort lassen sich keine individuellen DH-Parameter im Apache konfigurieren, zudem ist Debian 6 inzwischen "veraltet")
    - 1024-Bit-Parameter für Mailservices sind so beabsichtigt, da es viele Clients gibt die mit größeren Parametern schlicht nicht zurecht kommen.


    Mit freundlichen Grüßen


    -Klaus Keppler


  • Hallo, wir haben derzeit Debian 7 (Wheezy) installiert. Update auf Jessie (Debian 8) folgt demnächst. Problem besteht auch mit Wheezy (v7).


    MfG und ein schönes Wochenende.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!