woensdag 29 juni 2011 11:44

Acties:
  • 0 Henk 'm!
  • rogierslag
  • Registratie: Maart 2005
  • Laatst online: 14-10-2024

rogierslag

Topicstarter
Ik ben bezig om voor een applicatie met persoonsgegevens (dus gevoelig) van een intranet over te zetten naar een internet webapplicatie. Hiervoor willen we ook een goede HTTPS verbinding

Met een keysize van 8096 bits en een Apache configuratie (zie onderstaand) krijg ik "TLS v1.0 256 bit AES (1024 bit DHE_RSA/SHA)" als ik in Opera het certificaat opvraag
code:
1
2
3
4
5
6
7
8
9
10
11
12

SSLSessionCache         shmcb:/var/cache/mod_ssl/scache(512000)
SSLSessionCacheTimeout  300
SSLMutex default
SSLRandomSeed startup file:/dev/urandom  2048
SSLRandomSeed connect builtin
SSLCryptoDevice builtin
SSLProtocol -all +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:-MEDIUM:-LOW:-SSLv2:-EXP
<Directory "/var/www/webapp">
        SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 
        SSLRequireSSL
</Directory>


Op sites als mijn.ing.nl krijg ik te zien "TLS v1.0 128 bit ARC4 (2048 bit RSA/SHA)". Gezien de aard van de persoonsgegevens wil ik zeker naar die 2048 toe, maar ik kan niet vinden hoe ik dat doe.

Ik heb al geprobeerd:
  • SSLCiherSuite op ALL:RC4+RSA te zetten
  • SSLv3 uit te schakelen
  • Bij het maken van de certificaten ergens te zoeken naar een optie die dat doet
Het volgende is gebruikt om de certificaten aan te maken (is self-signed met onze eigen root key)
code:
1
2
3
4

openssl genrsa -des3 -rand "random log files enzo" -out server.key 8096
openssl rsa -in server.key -out server.pem
openssl req -new -key server.key -out server.csr
openssl x509 -req -days 360 -in server.csr -signkey server.key -out server.crt


Wat doe ik fout?

/edit
SSL_CIPHER_USEKEYSIZE forceren naar 2048 zorgt ervoor dat er helemaal niemand mee kan connecten, dat is namelijk de 256 aes key

[ Voor 4% gewijzigd door rogierslag op 29-06-2011 11:47 ]

woensdag 29 juni 2011 19:05

Acties:
  • 0 Henk 'm!
  • blaataaps
  • Registratie: Juli 2001
  • Niet online

blaataaps

Bij het genereren van je signing request aangeven dat je 2048 bits wil, zie bijvoorbeeld http://blogs.digitss.com/...048-bit-csr-with-openssl/ en [google=openssl req 2048].

[ Voor 26% gewijzigd door blaataaps op 29-06-2011 19:06 ]

woensdag 29 juni 2011 20:34

Acties:
  • 0 Henk 'm!

Anoniem: 26306

Waar slaat 8096 op? 4096 kan, 8192 ook.
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq