15.01.2014, 21:39 Uhr

Um zu verhindern dass verschlüsselte Verbindungen nachträglich entschlüsselt werden können, zum Beispiel im Fall eines kompromittierten privaten Schlüssels, sollten die ECDHE Cipher-Suiten an die Spitze der präferierten Suiten gesetzt werden.

Ivan Ristic von den SSL Labs empfiehlt dabei folgende Reihenfolge:

  • TLS_ECDHE_RSA_WITH_RC4_128_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

Zudem sollten unsichere und ältere Protokolle und Cipher deaktiviert werden. Eine komfortable Möglichkeit bietet das Freeware Tool
IIS Crypto.

Anschliessend können die Einstellungen mit dem SSL Report von SSL Labs getestet werden. Unter “Handshake Simulation” sollte nun bei modernen Browsern “FS” für Forward Secrecy stehen.

 

Bisher 1 Kommentar zum Artikel

  1. Kommentar von Elias

    cool vielen Dank Simon! 🙂