Ok, so that’s not it. What about the ciphers output?

-- 
Daniel Schneller
Principal Cloud Engineer
 
CenterDevice GmbH                  | Hochstraße 11
                                   | 42697 Solingen
tel: +49 1754155711                | Deutschland
daniel.schnel...@centerdevice.de   | www.centerdevice.de

Geschäftsführung: Dr. Patrick Peschlow, Dr. Lukas Pustina,
Michael Rosbach, Handelsregister-Nr.: HRB 18655,
HR-Gericht: Bonn, USt-IdNr.: DE-815299431


> On 30. Aug. 2017, at 12:19, Julian Zielke 
> <jzie...@next-level-integration.com> wrote:
> 
> The output is:
>  
> Built with OpenSSL version : OpenSSL 1.0.2g  1 Mar 2016
> Running on OpenSSL version : OpenSSL 1.0.2g  1 Mar 2016
> OpenSSL library supports TLS extensions : yes
> OpenSSL library supports SNI : yes
> OpenSSL library supports prefer-server-ciphers : yes
>  
> Haproxy Version is 1.7.9.
>  
> Julian
>  
> Von: Daniel Schneller [mailto:daniel.schnel...@centerdevice.com] 
> Gesendet: Mittwoch, 30. August 2017 11:58
> An: Julian Zielke <jzie...@next-level-integration.com>
> Cc: Georg Faerber <ge...@riseup.net>; haproxy+h...@formilux.org 
> <haproxy@formilux.org>
> Betreff: Re: Enable SSL Forward Secrecy
>  
> Also, please run haproxy -vv to get some idea about what SSL library it 
> actually uses.
>  
>  
> -- 
> Daniel Schneller
> Principal Cloud Engineer
>  
> CenterDevice GmbH                  | Hochstraße 11
>                                    | 42697 Solingen
> tel: +49 1754155711                | Deutschland
> daniel.schnel...@centerdevice.de <mailto:daniel.schnel...@centerdevice.de>   
> | www.centerdevice.de <http://www.centerdevice.de/>
> 
> Geschäftsführung: Dr. Patrick Peschlow, Dr. Lukas Pustina,
> Michael Rosbach, Handelsregister-Nr.: HRB 18655,
> HR-Gericht: Bonn, USt-IdNr.: DE-815299431
> 
>  
> On 30. Aug. 2017, at 11:52, Julian Zielke <jzie...@next-level-integration.com 
> <mailto:jzie...@next-level-integration.com>> wrote:
>  
> Hi Georg,
> 
> tried this already without effect.
> 
> - Julian
> 
> -----Ursprüngliche Nachricht-----
> Von: Georg Faerber [mailto:ge...@riseup.net <mailto:ge...@riseup.net>]
> Gesendet: Mittwoch, 30. August 2017 11:51
> An: haproxy@formilux.org <mailto:haproxy@formilux.org>
> Betreff: Re: Enable SSL Forward Secrecy
> 
> On 17-08-30 09:33:23, Julian Zielke wrote:
> 
> Hi,
> 
> I'm struggeling with enabling SSL forward secrecy in my haproxy 1.7 setup.
> 
> So far the global settings look like:
> 
>  tune.ssl.default-dh-param 2048 # tune shared secred to 2048bits
> 
>  ssl-default-bind-options force-tlsv12 no-sslv3
>  ssl-default-bind-ciphers 
> TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA:TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA:AES256+EECDH:AES256+EDH:TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH:!DHE
>  ssl-default-server-options force-tlsv12 no-sslv3
>  ssl-default-server-ciphers 
> TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA:TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA:AES256+EECDH:AES256+EDH:TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH:!DHE
> 
>  ssl-server-verify required
>  tune.ssl.cachesize 100000
>  tune.ssl.lifetime 600
>  tune.ssl.maxrecord 1460
> 
> and in my https UI I've set:
> 
> ### ssl forward secrecy tweak
> # Distinguish between secure and insecure requests
>   acl secure dst_port eq 443
> 
> # Mark all cookies as secure if sent over SSL
>   rsprep ^Set-Cookie:\ (.*) Set-Cookie:\ \1;\ Secure if secure
> 
> # Add the HSTS header with a 1 year max-age
>   rspadd Strict-Transport-Security:\ max-age=31536000 if secure
> 
> Still Qualys gives me an A- rating telling me:
> The server does not support Forward Secrecy with the reference browsers. 
> Grade reduced to A-.
> 
> Any clue how to fix this?
> 
> Try to add no-tls-tickets [1].
> 
> Cheers,
> Georg
> 
> 
> [1] 
> https://cbonte.github.io/haproxy-dconv/1.7/configuration.html#no-tls-tickets 
> <https://cbonte.github.io/haproxy-dconv/1.7/configuration.html#no-tls-tickets>
> Wichtiger Hinweis: Der Inhalt dieser E-Mail ist vertraulich und 
> ausschließlich für den bezeichneten Adressaten bestimmt. Wenn Sie nicht der 
> vorgesehene Adressat dieser E-Mail oder dessen Vertreter sein sollten, so 
> beachten Sie bitte, dass jede Form der Kenntnisnahme, Veröffentlichung, 
> Vervielfältigung oder Weitergabe des Inhalts dieser E-Mail unzulässig ist. 
> Wir bitten Sie, sich in diesem Fall mit dem Absender der E-Mail in Verbindung 
> zu setzen. Wir möchten Sie außerdem darauf hinweisen, dass die Kommunikation 
> per E-Mail über das Internet unsicher ist, da für unberechtigte Dritte 
> grundsätzlich die Möglichkeit der Kenntnisnahme und Manipulation besteht
> 
> Important Note: The information contained in this e-mail is confidential. It 
> is intended solely for the addressee. Access to this e-mail by anyone else is 
> unauthorized. If you are not the intended recipient, any form of disclosure, 
> reproduction, distribution or any action taken or refrained from in reliance 
> on it, is prohibited and may be unlawful. Please notify the sender 
> immediately. We also would like to inform you that communication via e-mail 
> over the internet is insecure because third parties may have the possibility 
> to access and manipulate e-mails.
>  
> Wichtiger Hinweis: Der Inhalt dieser E-Mail ist vertraulich und 
> ausschließlich für den bezeichneten Adressaten bestimmt. Wenn Sie nicht der 
> vorgesehene Adressat dieser E-Mail oder dessen Vertreter sein sollten, so 
> beachten Sie bitte, dass jede Form der Kenntnisnahme, Veröffentlichung, 
> Vervielfältigung oder Weitergabe des Inhalts dieser E-Mail unzulässig ist. 
> Wir bitten Sie, sich in diesem Fall mit dem Absender der E-Mail in Verbindung 
> zu setzen. Wir möchten Sie außerdem darauf hinweisen, dass die Kommunikation 
> per E-Mail über das Internet unsicher ist, da für unberechtigte Dritte 
> grundsätzlich die Möglichkeit der Kenntnisnahme und Manipulation besteht
> 
> Important Note: The information contained in this e-mail is confidential. It 
> is intended solely for the addressee. Access to this e-mail by anyone else is 
> unauthorized. If you are not the intended recipient, any form of disclosure, 
> reproduction, distribution or any action taken or refrained from in reliance 
> on it, is prohibited and may be unlawful. Please notify the sender 
> immediately. We also would like to inform you that communication via e-mail 
> over the internet is insecure because third parties may have the possibility 
> to access and manipulate e-mails.
> 

Reply via email to