/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord? 		Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
ssl og httpd
Fra : Lars Bonde

Dato : 09-03-04 14:18
Jeg her et behov for at tvinge apache til at bruge 128 bit når der oprettest
en ssl forbindelse.

Kan det lade sig gøre.

systemet er
Redhat 7,3
Apache version 1.3.27


VH Lars

--
Lars Bonde
Email lars@casiopeia.net.fjern
http://www.klintehuset.dk




---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.614 / Virus Database: 393 - Release Date: 05-03-2004



 
 
Povl H. Pedersen (09-03-2004)
Kommentar
Fra : Povl H. Pedersen

Dato : 09-03-04 17:24
In article <404dc18d$0$1586$edfadb0f@dread14.news.tele.dk>, Lars Bonde wrote:
> Jeg her et behov for at tvinge apache til at bruge 128 bit når der oprettest
> en ssl forbindelse.
>
> Kan det lade sig gøre.
>
> systemet er
> Redhat 7,3
> Apache version 1.3.27

Ja. Kan ikke lige huske hvordan. Men hvis du har et rent 128-bit
cert (og ikke et supercert), så skulle det vel virke ? Ellers kan
du pille de uønskede fra, om ikke i conf fil, så i mod_ssl

Lars Bonde (10-03-2004)
Kommentar
Fra : Lars Bonde

Dato : 10-03-04 01:40
Jeg fandt den her

# allow all ciphers for the inital handshake,
# so export browsers can upgrade via SGC facility
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
<Directory /usr/local/apache/htdocs>
# but finally deny all browsers which haven't upgraded
SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128
</Directory>

mon ikke det er den ?

Lars


"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> skrev i en
meddelelse news:slrnc4rrta.2c7.povlhp@povl-h-pedersens-computer.local...
> In article <404dc18d$0$1586$edfadb0f@dread14.news.tele.dk>, Lars Bonde
wrote:
> > Jeg her et behov for at tvinge apache til at bruge 128 bit når der
oprettest
> > en ssl forbindelse.
> >
> > Kan det lade sig gøre.
> >
> > systemet er
> > Redhat 7,3
> > Apache version 1.3.27
>
> Ja. Kan ikke lige huske hvordan. Men hvis du har et rent 128-bit
> cert (og ikke et supercert), så skulle det vel virke ? Ellers kan
> du pille de uønskede fra, om ikke i conf fil, så i mod_ssl


---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.618 / Virus Database: 397 - Release Date: 09-03-2004



Mads Toftum (11-03-2004)
Kommentar
Fra : Mads Toftum

Dato : 11-03-04 12:36
On Wed, 10 Mar 2004 01:40:29 +0100, Lars Bonde <larsdaf@pc.dk.tagmigvæk> wrote:
> Jeg fandt den her
>
> # allow all ciphers for the inital handshake,
> # so export browsers can upgrade via SGC facility
> SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
><Directory /usr/local/apache/htdocs>
> # but finally deny all browsers which haven't upgraded
> SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128
></Directory>
>
> mon ikke det er den ?
>
Det er det cirka hvis du har et af de specielle SGC/upgrade certs - men
de er ikke billige/nemme at komme i nærheden af, så måske vil du meget
hellere bare begrænse tingene med det samme i SSLCipherSuite fremfor først
at forhandle lav crypto og derefter droppe forbindelsen alligevel.
Se http://httpd.apache.org/docs-2.0/mod/mod_ssl.html#sslciphersuite - brug
openssl ciphers -v til at sammensætte en SSLCipherSuite der kun slipper
det igennem som du vil acceptere.

vh

Mads Toftum
--
Speaking at LinuxForum 2004 - http://linuxforum.dk/2004/
Apache performance og skalerbarhed
Søg
Reklame
Statistik
Spørgsmål : 177502
Tips : 31968
Nyheder : 719565
Indlæg : 6408536
Brugere : 218887
Månedens bedste
Årets bedste
Sidste års bedste
Copyright © 2000-2024 kandu.dk. Alle rettigheder forbeholdes.