Bug #39
closedDisable old cipher suites and strenghten forward secrecy
0%
Description
Siehe https://www.ssllabs.com/ssltest/analyze.html?d=zom.bi&hideResults=on
zom.bi unterstützt viele alte, nicht mehr sichere Cipher-Suites, das Problem kann mit folgender config in der traefik.toml umgangen werden:
[tls.options]
[tls.options.default]
minVersion = "VersionTLS12"
#sniStrict = true #Anschalten, falls möglich
cipherSuites = [
"TLS_CHACHA20_POLY1305_SHA256",
"TLS_AES_128_GCM_SHA256",
"TLS_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"
]
[tls.options.mintls13]
minVersion = "VersionTLS13"
Entsprechender Code wurde bereits außerhalb der zom.bi infrastruktur getestet und für funktionsfähig befunden.
Updated by Chris - about 4 years ago
Da ich in letzter Zeit bei meinen Kollegen auch bisschen Werbung für das Setup gemacht habe und die das tatsächlich auch nutzen, ist das einem von denen das Problem auch aufgefallen (Danke Tom ;) ).
Ich denk' mal, ich werd mir das kommende Wochenende mal anschauen, wie ich das Konfig-Snippet in den Container bekomme.
Updated by Chris - about 4 years ago
hab die Konfiguration im .toml File angepasst.
https://git.zom.bi/zombi/proxy/pulls/1
Updated by Chris - about 4 years ago
Angepasste Konfig ist hinterlegt, wird aber scheinbar nicht aktiv. Gibt keinen Fehler beim Reload oder so aber TLSv1 und TLSv1.1 mit gammel-ciphers sind immer noch aktiv.
Updated by Chris - about 4 years ago
habs zum laufen bekommen. Ist scheinbar auch wichtig, wo die Konfiguration liegt:
Updated by Paul S. over 3 years ago
- Status changed from In Progress to Closed
Closing this bug, as ssllabs returns A+ rating now: https://www.ssllabs.com/ssltest/analyze.html?d=zom.bi&hideResults=on&latest
(If I read this in the future, on Kubernetes traefik can change endpoint configurations using a TLSOptions CRD.)