Apache TLS Zertifikate und Perfect Forward Secrecy PFS
1. Zwischenzertifikate im Apache
- als Chain NACH dem Server-Zertifikat einfügen
- zusätzlich mit SSLCertificateChainFile einbinden
2. TLS - Cipher Suite und PFS
Der hervorragende Test auf SSLLabs https://www.ssllabs.com/ssltest/index.html
ergibt meist Defizite beim PFS
Lösung
(nicht mehr für IE6 und Java 6u45)
SSLHonorCipherOrder on
SSLCipherSuite 'EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA:EECDH:
EDH+AESGCM:EDH:+3DES:ECDH+AESGCM:ECDH+AES:ECDH:AES:HIGH:MEDIUM:!RC4:
!CAMELLIA:!SEED:!aNULL:!MD5:!eNULL:!LOW:!EXP:!DSS:!PSK:!SRP'