Hehe yikes! This was it. It’s normal that someone get’s lost in all this cipher crap and it should be written in the HaProxy manual as an important step on how to harden security.
Thank you guys for your help! Really appreciate it! * Julian Von: Daniel Schneller [mailto:daniel.schnel...@centerdevice.com] Gesendet: Mittwoch, 30. August 2017 15:54 An: Cyril Bonté <cyril.bo...@free.fr> Cc: Julian Zielke <jzie...@next-level-integration.com>; haproxy+h...@formilux.org <haproxy@formilux.org> Betreff: Re: Enable SSL Forward Secrecy Darn! Looking at the “openssl ciphers” Julian provided earlier, my mind “autocompleted" the missing trailing “E” in ECDH (/me facepalms). Thanks, Cyril, for pointing that out! I was starting to doubt myself here :) Cheers, Daniel -- Daniel Schneller Principal Cloud Engineer CenterDevice GmbH | Hochstraße 11 | 42697 Solingen tel: +49 1754155711 | Deutschland daniel.schnel...@centerdevice.de<mailto:daniel.schnel...@centerdevice.de> | www.centerdevice.de<http://www.centerdevice.de> Geschäftsführung: Dr. Patrick Peschlow, Dr. Lukas Pustina, Michael Rosbach, Handelsregister-Nr.: HRB 18655, HR-Gericht: Bonn, USt-IdNr.: DE-815299431 On 30. Aug. 2017, at 15:41, Cyril Bonté <cyril.bo...@free.fr<mailto:cyril.bo...@free.fr>> wrote: De: "Julian Zielke" <jzie...@next-level-integration.com<mailto:jzie...@next-level-integration.com>> À: "Cyril Bonté" <cyril.bo...@free.fr<mailto:cyril.bo...@free.fr>> Cc: haproxy@formilux.org<mailto:haproxy@formilux.org> Envoyé: Mercredi 30 Août 2017 15:11:47 Objet: AW: Enable SSL Forward Secrecy Hi Cyril, tired it without success. Maybe HaProxy isn't just capable of doing this. Oh well, indeed the "!kECDHE" excludes the ciphers from the list. You should retry without it (with or without RFC names in the ciphers list) ssl-default-bind-ciphers TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA: TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA:AES256+EECDH:AES256+EDH:TLSv1+HIGH :!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH:!DHE Cyril Bonté Wichtiger Hinweis: Der Inhalt dieser E-Mail ist vertraulich und ausschließlich für den bezeichneten Adressaten bestimmt. Wenn Sie nicht der vorgesehene Adressat dieser E-Mail oder dessen Vertreter sein sollten, so beachten Sie bitte, dass jede Form der Kenntnisnahme, Veröffentlichung, Vervielfältigung oder Weitergabe des Inhalts dieser E-Mail unzulässig ist. Wir bitten Sie, sich in diesem Fall mit dem Absender der E-Mail in Verbindung zu setzen. Wir möchten Sie außerdem darauf hinweisen, dass die Kommunikation per E-Mail über das Internet unsicher ist, da für unberechtigte Dritte grundsätzlich die Möglichkeit der Kenntnisnahme und Manipulation besteht Important Note: The information contained in this e-mail is confidential. It is intended solely for the addressee. Access to this e-mail by anyone else is unauthorized. If you are not the intended recipient, any form of disclosure, reproduction, distribution or any action taken or refrained from in reliance on it, is prohibited and may be unlawful. Please notify the sender immediately. We also would like to inform you that communication via e-mail over the internet is insecure because third parties may have the possibility to access and manipulate e-mails.