Apache 2 - Direktiven - SSLProxyCipherSuite

    buchinfo

    aktuelles

    newsletter

    inhalt

    leseprobe

    rezensionen

    direktiven

    module

    errata

    forum

    buchtipps

    links

    bestellen bei:

    Galileo Press
    amazon.de

Direktiven

Konfigurationsdirektive: SSLProxyCipherSuite

Die Direktive des Tages: SSLProxyCipherSuite Übersicht: In Modul(en): mod_ssl Kontext: Server <VirtualHost> <Directory> <Location> <Files> .htaccess Syntax: SSLProxyCipherSuite ALGORITHMENLISTE (s. Beschreibung) Standardwert: ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP Automatisch gesetzt: ja Ausführliche Beschreibung: Die Direktive SSLProxyCipherSuite enthält in einer durch Doppelpunkte getrennten Liste alle Verschlüsselungsalgorithmen, auf die sich Server und Client während des Handshakes für eine SSL-Proxy-Verbindung einigen können. Es handelt sich um die Proxy-Variante von SSLCipherSuite [1]. Die Liste besteht aus folgenden Komponenten: * Schlüsselaustausch-Algorithmus: Bestimmt die mehr oder weniger sichere Methode, mit der sich Client und Server auf einen Schlüssel einigen. Folgende Werte sind möglich: – kRSA: RSA-Schlüsselaustausch – kDHr: Diffie-Hellman-Schlüsselaustausch mit RSA-Schlüssel – kDHd: Diffie-Hellman-Schlüsselaustausch mit DSA-Schlüssel – kEDH: Ephemeral-Diffie-Hellman-Schlüsselaustausch (temporäre Schlüssel ohne Zertifikat) * Authentifizierungsalgorithmus: Legt den Algorithmus zur Übermittlung verschlüsselter Authentifizierungsdaten fest. Mögliche Werte: – aNULL: keine Authentifizierung – aRSA: RSA-Authentifizierung – aDSS: DSS-Authentifizierung – aDH: Diffie-Hellman-Authentifizierung * Verschlüsselungsalgorithmus: Dies ist die Methode, mit der der Schlüssel codiert wird: – eNULL: keine Codierung – DES: DES-Codierung – 3DES: Triple-DES-Codierung – RC4: RC4-Codierung – RC2: RC2-Codierung – IDEA: IDEA-Codierung * MAC-Digest-Algorithmus: Der Algorithmus, der für Message-Digests zur Integritätsprüfung eingesetzt wird: – MD5: MD5-Hash-Funktion – SHA1: SHA1-Hash-Funktion – SHA: SHA-Hash-Funktion * Alias-Bezeichnungen: Sie können folgende Werte benutzen, um die Namen mehrerer Algorithmen nach verschiedenen Kriterien zusammenzufassen: – SSLv2: alle Algorithmen, die SSL 2.0 unterstützt – SSLv3: alle Algorithmen, die SSL 3.0 unterstützt – TLSv1: alle Algorithmen, die TLS 1.0 unterstützt – EXP: alle exportfähigen Algorithmen (schwache Verschlüsselung; der Begriff "exportfähig" bezieht sich auf Exportbeschränkungen für Verschlüsselungsverfahren mit hoher Bit-Breite) – EXPORT40: nur 40-Bit-Exportalgorithmen – EXPORT56: nur 56-Bit-Exportalgorithmen – LOW: alle schwachen, aber nicht exportfähigen Algorithmen (Single-DES) – MEDIUM: alle Algorithmen mit 128-Bit-Verschlüsselung – HIGH: alle Triple-DES-Algorithmen – RSA: alle Algorithmen mit RSA-Schlüsselaustausch – DH: alle Algorithmen mit Diffie-Hellman-Schlüsselaustausch – EDH: alle Algorithmen mit Ephemeral-Diffie-Hellman-Schlüsselaustausch – ADH: alle Algorithmen mit Anonymous-Diffie-Hellman-Schlüsselaustausch – DSS: alle Algorithmen mit DSS-Authentifizierung – NULL: alle Algorithmen ohne Verschlüsselung Die Liste kann aus all diesen Elementen zusammengefügt werden. Für jede Komponente sind folgende Optionen möglich: * Name ohne Präfix: Der Algorithmus wird zur Liste hinzugefügt. * Mit Präfix "+": Der Algorithmus wird an der aktuellen Position (die seine Priorität bestimmt) zur Liste hinzugefügt. * Mit Präfix "-": Der Algorithmus wird aus der Liste entfernt. * Mit Präfix "!". Der Algorithmus wird unwiderruflich aus der Liste entfernt – erneutes Hinzufügen ist nicht mehr möglich. Betrachten Sie als Beispiel den Standardwert der Direktive: SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP Zunächst werden über das Schlüsselwort ALL sämtliche Algorithmen zugelassen; die Anonymous-Diffie-Hellman-Verfahren werden anschließend mittels !ADH ausgeschlossen. Anschließend werden mit + einige Algorithmengruppen hinzugefügt. Dies legt die Reihenfolge fest, in der der Server sie dem Client vorschlägt. Gewählt wird jeweils der erste Algorithmus einer Kategorie, auf den Server und Client sich einigen können. Im Folgenden finden Sie eine vollständige Liste der kombinierten RSA- und Diffie-Hellman-Algorithmen, die in der Praxis von SSL unterstützt werden. "Auth." steht dabei für den Authentifizierungsalgorithmus; MAC ist das Message-Digest-Verfahren. Die Zahlen in Klammern hinter der Codierung geben die Bit-Breiten der Schlüssel an. Name Protokoll Schlüssel Auth. Codierung MAC Export - DES-CBC3-SHA: Protokoll SSLv3, Schlüssel RSA, Auth. RSA, Codierung 3DES(168), MAC SHA1 - DES-CBC3-MD5: Protokoll SSLv2, Schlüssel RSA, Auth. RSA, Codierung 3DES(168), MAC MD5 - IDEA-CBC-SHA: Protokoll SSLv3, Schlüssel RSA, Auth. RSA, Codierung IDEA(128), MAC SHA1 - RC4-SHA: Protokoll SSLv3, Schlüssel RSA, Auth. RSA, Codierung RC4(128), MAC SHA1 - RC4-MD5: Protokoll SSLv3, Schlüssel RSA, Auth. RSA, Codierung RC4(128), MAC MD5 - IDEA-CBC-MD5: Protokoll SSLv2, Schlüssel RSA, Auth. RSA, Codierung IDEA(128), MAC MD5 - RC2-CBC-MD5: Protokoll SSLv2, Schlüssel RSA, Auth. RSA, Codierung RC2(128), MAC MD5 - RC4-MD5: Protokoll SSLv2, Schlüssel RSA, Auth. RSA, Codierung RC4(128), MAC MD5 - DES-CBC-SHA: Protokoll SSLv3, Schlüssel RSA, Auth. RSA, Codierung DES(56), MAC SHA1 - RC4-64-MD5: Protokoll SSLv2, Schlüssel RSA, Auth. RSA, Codierung RC4(64), MAC MD5 - DES-CBC-MD5: Protokoll SSLv2, Schlüssel RSA, Auth. RSA, Codierung DES(56), MAC MD5 - EXP-DES-CBC-SHA: Protokoll SSLv3, Schlüssel RSA(512), Auth. RSA, Codierung DES(40), MAC SHA1 (Export) - EXP-RC2-CBC-MD5: Protokoll SSLv3, Schlüssel RSA(512), Auth. RSA, Codierung RC2(40), MAC MD5 (Export) - EXP-RC4-MD5: Protokoll SSLv3, Schlüssel RSA(512), Auth. RSA, Codierung RC4(40), MAC MD5 (Export) - EXP-RC2-CBC-MD5: Protokoll SSLv2, Schlüssel RSA(512), Auth. RSA, Codierung RC2(40), MAC MD5 (Export) - EXP-RC4-MD5: Protokoll SSLv2, Schlüssel RSA(512), Auth. RSA, Codierung RC4(40), MAC MD5 (Export) - NULL-SHA: Protokoll SSLv3, Schlüssel RSA, Auth. RSA, Codierung None, MAC SHA1 - NULL-MD5: Protokoll SSLv3, Schlüssel RSA, Auth. RSA, Codierung None, MAC MD5 - ADH-DES-CBC3-SHA: Protokoll SSLv3, Schlüssel DH, Auth. None, Codierung 3DES(168), MAC SHA1 - ADH-DES-CBC-SHA: Protokoll SSLv3, Schlüssel DH, Auth. None, Codierung DES(56), MAC SHA1 - ADH-RC4-MD5: Protokoll SSLv3, Schlüssel DH, Auth. None, Codierung RC4(128), MAC MD5 - EDH-RSA-DES-CBC3-SHA: Protokoll SSLv3, Schlüssel DH, Auth. RSA, Codierung 3DES(168), MAC SHA1 - EDH-DSS-DES-CBC3-SHA: Protokoll SSLv3, Schlüssel DH, Auth. DSS, Codierung 3DES(168), MAC SHA1 - EDH-RSA-DES-CBC-SHA: Protokoll SSLv3, Schlüssel DH, Auth. RSA, Codierung DES(56), MAC SHA1 - EDH-DSS-DES-CBC-SHA: Protokoll SSLv3, Schlüssel DH, Auth. DSS, Codierung DES(56), MAC SHA1 - EXP-EDH-RSA-DES-CBC-SHA: Protokoll SSLv3, Schlüssel DH(512), Auth. RSA, Codierung DES(40), MAC SHA1 (Export) - EXP-EDH-DSS-DES-CBC-SHA: Protokoll SSLv3, Schlüssel DH(512), Auth. DSS, Codierung DES(40), MAC SHA1 (Export) - EXP-ADH-DES-CBC-SHA: Protokoll SSLv3, Schlüssel DH(512), Auth. None, Codierung DES(40), MAC SHA1 (Export) - EXP-ADH-RC4-MD5: Protokoll SSLv3, Schlüssel DH(512), Auth. None, Codierung RC4(40), MAC MD5 (Export) ------------- Verweis: [1] SSLCipherSuite: http://buecher.lingoworld.de/apache2/showdir.php?id=718 ************* HINWEIS: Vorige Woche konnte der Newsletter wegen meiner MySQL-Schulung im Linuxhotel (http://www.linuxhotel.de) leider nicht erscheinen. ============= Vorige Direktive (Archiv): MaxSpareThreads http://buecher.lingoworld.de/apache2/showdir.php?id=609 Links auf archivierte Direktiven sind erlaubt und ausdrücklich erwünscht; die direkte Weiterverbreitung auf fremden Sites - auch mit Quellenangabe - ist dagegen nicht gestattet. Die heutige Direktive wird ab 0:00 Uhr im Archiv zur Verfügung stehen. =============

Zur Übersicht