Am 12.07.2012 12:42, schrieb Richard: > Am 12.07.12 12:01, schrieb Reindl Harald: >> >> Am 12.07.2012 09:21, schrieb Richard: >>> Hallo zusammen, >>> >>> ich suche nach einer Lösung für ein SSL Problem. >>> >>> Ich möchte gerne Browser auf eine Infoseite umleiten, die versuchen eine >>> SSL-Verbindung mit einer Version kleiner SSLv3 oder TLSv1 auf zubauen. >>> >>> Dabei soll die Prüfung und Weiterleitung auf der Serverseite erfolgen und >>> nicht auf der Clientseite. >>> Hat da jemand eine Idee bzw. geht so etwas. >> Nicht wirklich weil völlig falscher Ansatz >> >> Apache ordentlich konfigurieren dann akzeptiert er beim Handshake >> auch nur SSL3/TLS, alles andere lässt dich auch bei jedem >> Security-Audit mit Nessus etc. gandenlos durchfallen >> >> SSLProtocol All -SSLv2 >> SSLInsecureRenegotiation Off >> SSLHonorCipherOrder On >> SSLCipherSuite >> ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM:!SSLV2:!eNUL >> >> [root@openvas:~]$ sslscan rh.thelounge.net | grep Accepted >> Accepted SSLv3 256 bits AES256-SHA >> Accepted SSLv3 256 bits CAMELLIA256-SHA >> Accepted SSLv3 168 bits DES-CBC3-SHA >> Accepted SSLv3 128 bits AES128-SHA >> Accepted SSLv3 128 bits CAMELLIA128-SHA >> Accepted SSLv3 128 bits RC4-SHA >> Accepted TLSv1 256 bits AES256-SHA >> Accepted TLSv1 256 bits CAMELLIA256-SHA >> Accepted TLSv1 168 bits DES-CBC3-SHA >> Accepted TLSv1 128 bits AES128-SHA >> Accepted TLSv1 128 bits CAMELLIA128-SHA >> Accepted TLSv1 128 bits RC4-SHA >> >> > Das ist schon klar und habe ich auch so konfiguriert. > Nur habe ich hier teilweise noch alte Browser (IE6 "keinen Kommentar dazu") > und die drehen sich hier im Kreis bei > SSLv3. > Diesen User wollte ich auf eine Infoseite umleiten, um sie neueren Version > vom FireFox und IE hinzuweisen.
Stimmt nicht, ich habe exakt die Konfiguration oben auf allen Servern im produktivbetrieb und da gibt es nicht das geringste Problem mit SSL aus einer VM mit WinXP/IE6
signature.asc
Description: OpenPGP digital signature