nginx - veraltete Verschlüsselungsmethoden entfernen - 04.01.2014
von Thomas Windscheif / Microlinc
Dank der NSA-Abhör-Geschichten melden sich nun einige Security-Spezialisten im Netz die erläutern wie man Bestandssysteme nach außen besser sichern kann.
Da ich selber auch gerne mit nginx arbeite, habe ich nach ein bisschen Suche auch einen Blogger gefunden der sich mit den TLS/SSL-Verschlüsselungen von Apache & nginx beschäftigt hat:
http://www.kuketz-blog.de/nsa-abhoersichere-ssl-verschluesselung-fuer-apache-und-nginx/
Ich verwende auf Windows-Ebene i. d. R. immer die cygwin-Variante (http://kevinworthington.com/) von nginx, da die Windows-native-builds (http://nginx.org/en/download.html) zuviel Ärger gemacht haben.
In den native-builds scheint schon OpenSSL 1.0.1e verwendet zu werden (nginx 1.5.8).
Leider musste ich feststellen, dass die cygwin-Builds bis 1.5.8 eine ältere OpenSSL-Library (OpenSSL 0.9.8l) verwenden. Denn: Erst ab OpenSSL 1.0.1 wird TLSv1.1 & TLSv1.2 unterstützt (siehe http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols) .
Ich habe dies Mr. Worthington, der netterweise immer die aktuellen Builds mit cygwin erstellt, bereits mitgeteilt. nginx unterstützt TLSv1.1 & TLSv1.2 ab Version 1.1.13 bzw. 1.0.12 vorausgesetzt die neue OpenSSL-library ist beim builden verwendet worden.
Da im April dieses Jahres der Windows XP-Support eingestellt wird, ist dieses Datum auch eine hervorragende Wahl alte Verschlüsselungen wie DES bzw. RC4 zu entfernen.
Weitere Informationen:
http://www.openssl.org/docs/apps/ciphers.html / hier werden die Verschlüsselung der OpenSSL-Bibliothek erläutert (Kurz & Langbezeichnungen)
https://www.ssllabs.com/ssltest/ / SSL-Check-Tool für Websites
https://www.wormly.com/test_ssl / wormly SSL-Check-Tool für Websites