Also, please run haproxy -vv to get some idea about what SSL library it actually uses.
-- Daniel Schneller Principal Cloud Engineer CenterDevice GmbH | Hochstraße 11 | 42697 Solingen tel: +49 1754155711 | Deutschland daniel.schnel...@centerdevice.de | www.centerdevice.de Geschäftsführung: Dr. Patrick Peschlow, Dr. Lukas Pustina, Michael Rosbach, Handelsregister-Nr.: HRB 18655, HR-Gericht: Bonn, USt-IdNr.: DE-815299431 > On 30. Aug. 2017, at 11:52, Julian Zielke > <jzie...@next-level-integration.com> wrote: > > Hi Georg, > > tried this already without effect. > > - Julian > > -----Ursprüngliche Nachricht----- > Von: Georg Faerber [mailto:ge...@riseup.net] > Gesendet: Mittwoch, 30. August 2017 11:51 > An: haproxy@formilux.org > Betreff: Re: Enable SSL Forward Secrecy > > On 17-08-30 09:33:23, Julian Zielke wrote: >> Hi, >> >> I'm struggeling with enabling SSL forward secrecy in my haproxy 1.7 setup. >> >> So far the global settings look like: >> >> tune.ssl.default-dh-param 2048 # tune shared secred to 2048bits >> >> ssl-default-bind-options force-tlsv12 no-sslv3 >> ssl-default-bind-ciphers >> TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA:TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA:AES256+EECDH:AES256+EDH:TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH:!DHE >> ssl-default-server-options force-tlsv12 no-sslv3 >> ssl-default-server-ciphers >> TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA:TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA:AES256+EECDH:AES256+EDH:TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH:!DHE >> >> ssl-server-verify required >> tune.ssl.cachesize 100000 >> tune.ssl.lifetime 600 >> tune.ssl.maxrecord 1460 >> >> and in my https UI I've set: >> >> ### ssl forward secrecy tweak >> # Distinguish between secure and insecure requests >> acl secure dst_port eq 443 >> >> # Mark all cookies as secure if sent over SSL >> rsprep ^Set-Cookie:\ (.*) Set-Cookie:\ \1;\ Secure if secure >> >> # Add the HSTS header with a 1 year max-age >> rspadd Strict-Transport-Security:\ max-age=31536000 if secure >> >> Still Qualys gives me an A- rating telling me: >> The server does not support Forward Secrecy with the reference browsers. >> Grade reduced to A-. >> >> Any clue how to fix this? > > Try to add no-tls-tickets [1]. > > Cheers, > Georg > > > [1] > https://cbonte.github.io/haproxy-dconv/1.7/configuration.html#no-tls-tickets > Wichtiger Hinweis: Der Inhalt dieser E-Mail ist vertraulich und > ausschließlich für den bezeichneten Adressaten bestimmt. Wenn Sie nicht der > vorgesehene Adressat dieser E-Mail oder dessen Vertreter sein sollten, so > beachten Sie bitte, dass jede Form der Kenntnisnahme, Veröffentlichung, > Vervielfältigung oder Weitergabe des Inhalts dieser E-Mail unzulässig ist. > Wir bitten Sie, sich in diesem Fall mit dem Absender der E-Mail in Verbindung > zu setzen. Wir möchten Sie außerdem darauf hinweisen, dass die Kommunikation > per E-Mail über das Internet unsicher ist, da für unberechtigte Dritte > grundsätzlich die Möglichkeit der Kenntnisnahme und Manipulation besteht > > Important Note: The information contained in this e-mail is confidential. It > is intended solely for the addressee. Access to this e-mail by anyone else is > unauthorized. If you are not the intended recipient, any form of disclosure, > reproduction, distribution or any action taken or refrained from in reliance > on it, is prohibited and may be unlawful. Please notify the sender > immediately. We also would like to inform you that communication via e-mail > over the internet is insecure because third parties may have the possibility > to access and manipulate e-mails.