Rootmanual:SSL: Skillnad mellan sidversioner
Hoppa till navigering
Hoppa till sök
Sebth (diskussion | bidrag) |
Busk (diskussion | bidrag) (typ alla sha1-cert utbytta nu, de som inte är det ska inte nyansökas (iaf inte för tillfället)) |
||
| Rad 65: | Rad 65: | ||
DHE = Diffie-Hellman key exchange (Apache 2.2 klarar bara 1024 bitar stor parameter; minst 2048 rekommenderas) |
DHE = Diffie-Hellman key exchange (Apache 2.2 klarar bara 1024 bitar stor parameter; minst 2048 rekommenderas) |
||
Apache 2.2 klarar inte heller OCSP, eftersom det började stödas först i 2.3.3. Bör aktiveras för apacher på debian när debian 8 blir stable och hinkar uppgraderats. |
|||
Situationen generellt nu är att SHA1 bör ersättas med SHA256 innan 2016, vilket gör att det vore bra ifall alla certifikat vi har låtit få utgivna sammanställdes t.ex. här, så att man enkelt kan söka dem i klump när det väl drar ihop sig. |
|||
Versionen från 16 februari 2015 kl. 16.47
https://www.ssllabs.com/ssltest/analyze.html är användbar för snabb överblick över vad som kan förbättras för ett cert, även https://github.com/jvehent/cipherscan med bl.a. analyze.py kan vara behjälplig.
https://wiki.mozilla.org/Security/Server_Side_TLS går igenom mycket som är bra att veta om hur man ställer in sin httpd, t.ex. cipher suites osv.
Inventering av certifikat
| host | CN | port | Certificate | Protocol support | Key exchange | Cipher strength | Rating | Valid from | Valid until | Key | Signature algorithm | TLS1.2 | TLS1.1 | TLS1.0 | SSL3 | SSL2 | PFS | HSTS | OCSP | NPN | SPDY | analyze.py (mozilla-nivå) | annat |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| webware | admin | 443 | 100 | 95 | 90 | 90 | A+ | 2014-11-17 | 2017-11-16 | RSA2048 | SHA256wRSA | Y | Y | Y | N | N | Y | Y | Y | Y | Y | "intermediate" | |
| bugzilla | bugzilla | 443 | 100 | 95 | 80 | 90 | A | 2015-02-03 | 2018-02-02 | RSA2048 | SHA256wRSA | Y | Y | Y | N | N | Y | Y | N | N | N | "intermediate" när OCSP | Kortvarig HSTS, OBS: Alternative name: *.bug-attachments.lysator.liu.se |
| datorhandbok | datorhandbok | 443 | 100 | 95 | 80 | 90 | A+ | 2015-02-03 | 2018-02-02 | RSA2048 | SHA256wRSA | Y | Y | Y | N | N | Y | Y | N | N | N | "intermediate" när OCSP och DHE >2048 | |
| enodia | enodia | 443 | 100 | 95 | 80 | 90 | 2012-07-26 | 2015-07-27 | RSA2048 | SHA1wRSA | Y | Y | Y | N | N | Y | N | N | N | N | "intermediate" när OCSP och SHA256 | ska avvecklas alt. nyinstalleras | |
| ftp | ftp | 443 | 100 | 95 | 90 | 90 | A | 2015-02-03 | 2018-02-02 | RSA2048 | SHA256wRSA | Y | Y | Y | N | N | Y | Y | Y | Y | Y | "intermediate" | |
| gluten | git | 443 | 100 | 95 | 80 | 90 | A+ | 2015-02-03 | 2018-02-02 | RSA2048 | SHA2wRSA | Y | Y | Y | N | N | Y | Y | N | Y | N | "intermediate" | |
| httpkom | httpkom | 443 | 100 | 95 | 90 | 90 | A+ | 2015-02-03 | 2018-02-02 | RSA2048 | SHA256wRSA | Y | Y | Y | N | N | Y | Y | N | N | N | "intermediate" när OCSP | |
| bernadotte | imap | 143 | 2015-02-02 | 2018-02-02 | |||||||||||||||||||
| jabber | lysator.liu.se | 5222 | 2015-02-03 | 2018-02-02 | RSA2048 | SHA256wRSA | IM Observatory, Observera CN vid förnyande | ||||||||||||||||
| jskom | jskom | 443 | 100 | 95 | 90 | 90 | A+ | 2015-02-03 | 2018-02-02 | RSA2048 | SHA256wRSA | Y | Y | Y | N | N | Y | Y | N | N | N | "intermediate" när OCSP | |
| ldap | ldap | 2014-11-17 | 2017-11-16 | RSA2048 | SHA256wRSA | ||||||||||||||||||
| bernadotte | lists | 443 | 100 | 95 | 80 | 90 | A | 2014-11-17 | 2017-11-16 | RSA2048 | SHA256wRSA | Y | Y | Y | N | N | Y | N | N | N | N | "intermediate" när OCSP och DHE >2048 | |
| login | login | 443 | 100 | 95 | 90 | 90 | A | 2015-02-03 | 2018-02-02 | RSA2048 | SHA256wRSA | Y | Y | Y | N | N | Y | Y | Y | Y | Y | "intermediate" | |
| bernadotte | 25 | 2015-02-02 | 2018-02-02 | ||||||||||||||||||||
| medreg | medreg | 443 | 100 | 95 | 80 | 90 | A | 2015-02-03 | 2018-02-02 | RSA2048 | SHA256wRSA | Y | Y | Y | N | N | Y | N | N | N | N | "intermediate" när OCSP | |
| succubus | mrtg | 443 | 100 | 95 | 90 | 90 | A+ | 2015-02-03 | 2018-02-02 | RSA2048 | SHA256wRSA | Y | Y | Y | N | N | Y | Y | Y | Y | Y | "intermediate" | |
| succubus | nagios | 443 | 100 | 95 | 90 | 90 | A | 2015-02-03 | 2018-02-02 | RSA2048 | SHA256wRSA | Y | Y | Y | N | N | Y | N | Y | Y | Y | "intermediate" | |
| succubus | nagiosql | 443 | 100 | 95 | 90 | 90 | A+ | 2015-02-03 | 2018-02-02 | RSA2048 | SHA256wRSA | Y | Y | Y | N | N | Y | Y | Y | Y | Y | "intermediate" | |
| bernadotte | pop | 2015-02-02 | 2018-02-02 | ||||||||||||||||||||
| proxar | proxar | 8006 | 2015-02-03 | 2018-02-02 | RSA2048 | SHA256wRSA | bad | ||||||||||||||||
| proxer | proxer | 8006 | 2015-02-03 | 2018-02-02 | RSA2048 | SHA256wRSA | bad | ||||||||||||||||
| thinlinc | thinlinc | ||||||||||||||||||||||
| webkom | webkom | 443 | 100 | 95 | 90 | 90 | A | 2012-07-26 | 2015-09-01 | RSA2048 | SHA1wRSA | Y | Y | Y | N | N | Y | Y | N | N | N | "intermediate" när OCSP och SHA256 | ska avvecklas, är bara redirect till jskom. |
| bernadotte | webmail | 443 | 100 | 95 | 80 | 90 | A+ | 2015-02-02 | 2018-02-02 | RSA2048 | SHA256wRSA | Y | Y | Y | N | N | Y | Y | N | N | N | "intermediate" när OCSP och DHE >2048 | |
| webware | webware | 443 | 100 | 95 | 80 | 90 | A | 2012-07-26 | 2015-07-27 | RSA2048 | SHA1wRSA | Y | Y | Y | N | N | P | N | N | N | N | "intermediate" när OCSP och SHA256 | ska avvecklas. |
| nyarlathotep | www | 443 | 100 | 95 | 90 | 90 | A | 2015-02-02 | 2018-02-02 | RSA2048 | SHA256wRSA | Y | Y | Y | N | N | Y | Y | N | N | N | "intermediate" när OCSP | Kortvarig HSTS |
P = Partial
DHE = Diffie-Hellman key exchange (Apache 2.2 klarar bara 1024 bitar stor parameter; minst 2048 rekommenderas)
Apache 2.2 klarar inte heller OCSP, eftersom det började stödas först i 2.3.3. Bör aktiveras för apacher på debian när debian 8 blir stable och hinkar uppgraderats.