#subscribe9: https - oder Hilfe! Wie geht das?

tinowa · 28. Oktober 2017 um 09:03

Tag 2: 28.10.2017
14:15 - https - oder Hilfe! Wie geht das? (Raum 9) von @kieliscalling @Loewe88

Die Folien > siehe unten.

schaarsen · 28. Oktober 2017 um 12:23

Loewe88 · 28. Oktober 2017 um 13:39

Wenn es noch weitere Fragen zu dem Thema gibt, haut mich einfach auf der Subscribe an oder schreibt eure Fragen hier rein, @kieliscalling und ich wollen hier die ganzen Sachen sammeln um da eine Anlaufstelle zu bieten.

fairsein · 18. Dezember 2017 um 18:01

Ich will meine Podcast bei Uberspace mit https ausstatten. Muss ich denen dann eine Email schreiben, dass die die Zertifikate anpassen oder geht das mittlerweile so?

kieliscalling · 19. Dezember 2017 um 06:52

Gute Frage, das kam nach meiner Erinnerung auch auf. Kann @Loewe88 da kurz aushelfen?

funkenstrahlen · 19. Dezember 2017 um 07:09

Eine Mail musst du sicher nicht schreiben. Das kannst du selbst erledigen. Wie das geht steht im Wiki. Wenn du auf uberspace 7 bist, dann ist das allerdings anders als im Wiki. Das solltest du beachten. Dafür gibt es eine neue Dokumentation.

fairsein · 19. Dezember 2017 um 09:27

Das heißt, dass die Lets Encypt Zertifikate, die uberspace ausliefert, mittlerweile aus mit ITunes kompatibel sein? Seit wann ist denn das der Fall?

Gruß fairsein

funkenstrahlen · 19. Dezember 2017 um 13:20

Mein letzter Versucht liegt ein paar Monate zurück. Da ging es nicht.

fairsein · 13. Januar 2018 um 15:10

Ich habe jetzt einen eigenen Server. Was muss ich als ssl_ciphers in die ssl.conf eintragen, damit das mit itunes kompatibel ist.

Im Moment ist der Server so konfiguriert: new.fairsein.org

die ssl.conf

ssl_dhparam /certs/dhparam.pem;
ssl_ecdh_curve X25519:P-521:P-384;

ssl_protocols TLSv1.2;
ssl_prefer_server_ciphers on;
#ssl_ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS;
ssl_ciphers [ECDHE-ECDSA-CHACHA20-POLY1305|ECDHE-RSA-CHACHA20-POLY1305|ECDHE-ECDSA-AES256-GCM-SHA384|ECDHE-RSA-AES256-GCM-SHA384]:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_session_cache shared:TLS:2m;

# Set HSTS to 365 days
add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains';

ssl_session_cache shared:SSL:10m;
ssl_session_timeout 15m;
ssl_session_tickets off;

#add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

Gruß fairsein