Hallo Reindl, das Problem ist Au=None Das kann mit SSLCipherSuite behoben werden, wenn kann Au=None verbietet mit !aNULL
Beispiel SSLProtocol all -SSLv2 SSLHonorCipherOrder On SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM:!SSLV2:!eNULL SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown Diese Config ist auch imun gegen CVE-2011-3389 / beast attack. Hat allerdings den Nachteil, dass im Grunde alle Clients "nur" 128 bit Verschlüsselung nutzen und nicht mehr 256. Gruß Mario 2011/12/1 Reindl Harald <h.rei...@thelounge.net>: > Hi > > Warum bekomme ich bei einem Scan eines Dienstleisters mit folgender > Konfiguration den Report unten zurück? > _________________________________________________________ > > SSLEngine On > SSLProtocol All -SSLv2 > SSLCipherSuite HIGH > SSLVerifyClient Off > SSLVerifyDepth 10 > _________________________________________________________ > > mittleres Risiko [ TCP 443 ]: SSL Anonymous Cipher Suites Supported > Das untersuchte System unterstützt anonyme SSL-Cipher. Dies ermöglicht einem > Administrator > zwar, die SSL-Verschlüsselung zu verwenden, ohne ein Zertifikat zu beantragen > bzw. zu > generieren, doch ist es einem Client so unmöglich, die Identität des Hosts zu > verifizieren. Dadurch > sind Man-in-the-middle Angriffe auf solche Verbindungen möglich. > > Ausgabe: > The remote server supports the following anonymous SSL ciphers : > ADH-DES-CBC3-SHA > ADH-DES-CBC3-SHA > ADH-AES128-SHA > ADH-AES256-SHA > ADH-CAMELLIA128-SHA > ADH-CAMELLIA256-SHA > Kx=DH > Kx=DH > Kx=DH > Kx=DH > Kx=DH > Kx=DH > Au=None > Au=None > Au=None > Au=None > Au=None > Au=None > Enc=3DES(168) > Mac=SHA1 > Enc=3DES(168) > Mac=SHA1 > Enc=AES(128) > Mac=SHA1 > Enc=AES(256) > Mac=SHA1 > Enc=Camellia(128) Mac=SHA1 > Enc=Camellia(256) Mac=SHA1 > The fields above are : > {OpenSSL ciphername} > Kx={key exchange} > Au={authentication} > Enc={symmetric encryption method} > > -- > > Reindl Harald > the lounge interactive design GmbH > A-1060 Vienna, Hofmühlgasse 17 > CTO / software-development / cms-solutions > p: +43 (1) 595 3999 33, m: +43 (676) 40 221 40 > icq: 154546673, http://www.thelounge.net/ > > http://www.thelounge.net/signature.asc.what.htm > -------------------------------------------------------------------------- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an users-de-unsubscr...@httpd.apache.org sonstige Anfragen an users-de-h...@httpd.apache.org --------------------------------------------------------------------------