Έχει κάποιος εμπειρία με θέματα ασφάλειας, SSL & Beast attack<https://en.wikipedia.org/wiki/Transport_Layer_Security#BEAST_attack> ;
Συγκεκριμένα, ποια είναι η πιο ασφαλής ρύθμιση του *apache* για ssl; Έχω απενεργοποιήσει το TLSv1 και το SSLv2, πρέπει να κάνω και κάτι άλλο; [image: :problem:] Επίσης, διάβασα ότι το RC4 δεν είναι ασφαλές πλέον. Αληθεύει; Μήπως κάποιος ξέρει ποια "cipher suites" να χρησιμοποιήσω στο "SSLCipherSuite"; Το ssl είναι class 1 από το http://www.startssl.com αν έχει σημασία. Φαίνεται πως αυτή η ρύθμιση δουλεύει: SSLEngine on SSLCompression off # disallow for this vhost SSLHonorCipherOrder On SSLProtocol all -SSLv2 -TLSv1 SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM SSLCertificateFile /etc/ssl/ssl.crt SSLCertificateKeyFile /etc/ssl/ssl.key SSLCertificateChainFile /etc/ssl/sub.class1.server.ca.pem SSLCACertificateFile /etc/ssl/ca.pem Μήπως γνωρίζει κάποιος αν είναι εντάξει αυτή η ρύθμιση; Και αν υποστηρίζεται από τους κοινούς browsers (chrome/ium, IE, mozilla firefox, opera); Μπορείτε να ελέγξετε το ssl του δικού σας server με το testsslserver.jar: http://www.bolet.org/TestSSLServer/ wget http://www.bolet.org/TestSSLServer/TestSSLServer.jar java -jar TestSSLServer.jar oserversas.gr 443
