Firefox: welche Cipher Suites habt ihr aktiviert?

404

Aktives Mitglied
Thread Starter
Dabei seit
20.02.2015
Beiträge
241
Reaktionspunkte
10
Hi.

Falls ihr Firefox nutzt und evtl. an den Standardeinstellungen ein wenig rumgeschraubt habt, würde mich mal interessieren, welche Cipher Suites ihr (de)aktiviert habt. Zu sehen z.B. hier:
Qualys SSL Labs

Meine i.M. (mit TLS 1.2):
Cipher Suites (in order of preference)
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) Forward Secrecy 128
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) Forward Secrecy 128
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca9) Forward Secrecy 256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8) Forward Secrecy 256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c) Forward Secrecy 256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) Forward Secrecy 256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a) Forward Secrecy 256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009) Forward Secrecy 128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) Forward Secrecy 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) Forward Secrecy 256
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256

BTW wo finde ich eigentlich dauerhaft aktuelle Infos dazu, evtl. sogar mit Erklärungen oder Empfehlungen?
 
Zuletzt bearbeitet:
ich fahre üblicherweise diese
Code:
Cipher Suites (in order of preference)
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256   (0xc02b)   Forward Secrecy   128
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256     (0xc02f)   Forward Secrecy   128
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA      (0xc00a)   Forward Secrecy   256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA      (0xc009)   Forward Secrecy   128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA        (0xc013)   Forward Secrecy   128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA        (0xc014)   Forward Secrecy   256
TLS_RSA_WITH_AES_256_CBC_SHA              (0x35)                       256
und stoße selten auf probleme. wenn dann aktiviere ich evtl. die fehlende suite, je nach dringlichkeit und relevanz.

hast du denn deine CHACHAs in freier wildbahn schon mal gebraucht bzw. entdeckt?

infos stöbere ich mir so zusammen. :p
openssl.org, mozilla.org, bruce schneier, stackexchange, github, wireshark und haufenweise best practices zu securing and hardening servers und oft uni blogs zu jeweils anfallenden themen.
 
Stimmt, die CHACHAs suche ich noch. Sind die ein Problem? Doch gibts nen besonderen Grund, warum du die TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c) und TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) deaktiviert hast? Die sehe ich schon noch.
Hab gerade mal das Add-On SSleuth installiert, um mit einem Klick die Infos zu sehen. So als Übersicht ok, die Benotung find ich jetzt nicht so interessant und die Ciphers de/aktiviere ich eh manuell. Mehr Probleme als die Ciphers machen bei mir eh Einstellungen wie tls.version.min oder safe/unsafe negotiation.
 
Zuletzt bearbeitet:
neinein, die chachas sind auf keinen fall ein problem. sie sind ja sehr neu (AFAIR, erst seit august in FF implementiert).
ich stolper nur noch über keine site (mit meinem testbrowser), die sie verbaut hat.

0xc02c und 0xc030: da fragst du mich was. ich habe irgendwann recherchiert, was bei mir so durchschnittlich abgerufen wird und da flog alles irrelevante raus. ich musste sie mal vor längerer zeit aktivieren, weiss aber nicht mehr wo :p , aber es kommt ja auch auf die reihenfolge an und da trifft man sich doch eher mit 0xc02b und 0xc02f.
und solange die letzten beiden noch ausreichen...
 
Apropos Reihenfolge: Kann ich die selbst einstellen oder nur durch De-/Aktivieren von Ciphers indirekt beeinflussen?
 
nein, kannst du in der regel nicht selbst einstellen. der client sendet seine liste mit vorschlägen in der dir oben bekannten reihenfolge, aber letztendlich entscheiden die server, welchen cipher sie verwenden.

https://wiki.mozilla.org/Security/Server_Side_TLS

evtl. könnte man ein plugin bauen (vlt. gibt's ja sogar schon eins), dass auf jeweilige sites mit entsprechend aktivierten cipher suites reagiert. das würde aber vermutlich den erstkontakt entsprechend lange verzögern.
diese arbeit nehmen uns ja im prinzip die entwickler (browser, server, ssl) ab, die ab und an defaults ändern oder empfehlungen abgeben *.

* bei mozilla kann man das auch scriptmässig schön abfragen und verwursten:
https://statics.tls.security.mozilla.org/server-side-tls-conf-4.0.json
 
Zuletzt bearbeitet:
Zurück
Oben Unten