Mike Kuketz
20. Februar 2018 | 11:42 Uhr

nginx: ECDSA Zertifikat und moderne Cipher-Suiten

Nach dem Serverwechsel im Dezember war es an der Zeit veraltete TLS Cipher-Suiten auszumisten und von einem RSA-Zertifikat auf ein ECDSA-Zertifikat (auf Basis von Elliptic Curve Cryptography) umzusteigen.

Die aktuelle Konfiguration von nginx diesbezüglich:

ssl_protocols TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';

Ich nutze ausschließlich TLS 1.2 und folge der Mozilla Empfehlung für Cipher-Suiten (Modern compatibility).

Da nginx erst ab Version 1.11.0 RSA- und ECDSA-Zertifikate gleichzeitig ausliefern kann, bin ich sowohl beim Blog, als auch beim Forum komplett auf ECDSA-Zertifikate umgestiegen.

Die Frage lautet nun, ob der Umstieg auf ECDSA-Zertifikate zu früh kommt bzw. wie es mit der (Abwärts-)Kompatibilität aussieht: Ganz vertretbar, wie ich finde.

Positiver Nebeneffekt: Irgendwelche gammeligen Bots oder Crawler, die aktuelle TLS-Cipher Suiten auf Basis von ECDHE-ECDSA nicht unterstützen, bekommen den TLS-Handshake nicht hin. Macht nichts, die hat sowieso keiner eingeladen.

Du kannst den Blog aktiv unterstützen! Mitmachen ➡
Ähnliche Beiträge
Postfix
28. Februar 2018

Postfix: TLS-Konfiguration mit ECDSA- / RSA-Zertifikaten

Vorstellung einer sauberen, abwärtskompatiblen aber dennoch modernen TLS-Konfiguration für Postfix mit ECDSA- / RSA-Zertifikaten.
SSL
12. September 2013

NSA abhörsichere SSL-Verschlüsselung für Apache und nginx

Mit den richtigen SSL-Cipher-Suites für Apache und nginx hat die NSA derzeit keine Chance verschlüsselte Kommunikation zu dekodieren.
Microblog
23. Februar 2018

Postfix: ECDSA / RSA-Keys und TLS-Konfiguration

E-Mail-Server kommunizieren heute untereinander meist via TLS auf Basis von RSA-Keys. Nach dem Umzug meines E-Mail-Servers biete ich nun neben…
ejabberd
22. November 2018

ejabberd: Installation und Betrieb eines XMPP-Servers

Vorstellung einer sicherheits- und datenschutzfreundlichen Konfiguration für einen ejabberd-XMPP-Server auf Basis von Debian/GNU Linux.
Perfect Forward Secrecy
13. August 2013

Perfect Forward Secrecy mit Apple Mail?

Perfect Forward Secrecy verhindert die nachträgliche Entschlüsselung mitgeschnittener Verbindungen bzw. Kommunikation.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.