woensdag 29 juni 2011 11:44

Acties:
  • 0Henk 'm!
  • rogierslag
  • Registratie: Maart 2005
  • Laatst online: 29-11-2022

rogierslag

Topicstarter
Ik ben bezig om voor een applicatie met persoonsgegevens (dus gevoelig) van een intranet over te zetten naar een internet webapplicatie. Hiervoor willen we ook een goede HTTPS verbinding

Met een keysize van 8096 bits en een Apache configuratie (zie onderstaand) krijg ik "TLS v1.0 256 bit AES (1024 bit DHE_RSA/SHA)" als ik in Opera het certificaat opvraag
code:
1
2
3
4
5
6
7
8
9
10
11
12

SSLSessionCache         shmcb:/var/cache/mod_ssl/scache(512000)
SSLSessionCacheTimeout  300
SSLMutex default
SSLRandomSeed startup file:/dev/urandom  2048
SSLRandomSeed connect builtin
SSLCryptoDevice builtin
SSLProtocol -all +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:-MEDIUM:-LOW:-SSLv2:-EXP
<Directory "/var/www/webapp">
        SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 
        SSLRequireSSL
</Directory>


Op sites als mijn.ing.nl krijg ik te zien "TLS v1.0 128 bit ARC4 (2048 bit RSA/SHA)". Gezien de aard van de persoonsgegevens wil ik zeker naar die 2048 toe, maar ik kan niet vinden hoe ik dat doe.

Ik heb al geprobeerd:
  • SSLCiherSuite op ALL:RC4+RSA te zetten
  • SSLv3 uit te schakelen
  • Bij het maken van de certificaten ergens te zoeken naar een optie die dat doet
Het volgende is gebruikt om de certificaten aan te maken (is self-signed met onze eigen root key)
code:
1
2
3
4

openssl genrsa -des3 -rand "random log files enzo" -out server.key 8096
openssl rsa -in server.key -out server.pem
openssl req -new -key server.key -out server.csr
openssl x509 -req -days 360 -in server.csr -signkey server.key -out server.crt


Wat doe ik fout?

/edit
SSL_CIPHER_USEKEYSIZE forceren naar 2048 zorgt ervoor dat er helemaal niemand mee kan connecten, dat is namelijk de 256 aes key

[Voor 4% gewijzigd door rogierslag op 29-06-2011 11:47]

woensdag 29 juni 2011 19:05

Acties:
  • 0Henk 'm!
  • blaataaps
  • Registratie: Juli 2001
  • Niet online

blaataaps

Bij het genereren van je signing request aangeven dat je 2048 bits wil, zie bijvoorbeeld http://blogs.digitss.com/...048-bit-csr-with-openssl/ en [google=openssl req 2048].

[Voor 26% gewijzigd door blaataaps op 29-06-2011 19:06]

woensdag 29 juni 2011 20:34

Acties:
  • 0Henk 'm!

Anoniem: 26306

Waar slaat 8096 op? 4096 kan, 8192 ook.
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee