Differences

This shows you the differences between two versions of the page.

--- it_best_practise:apache:ssl_settings [2018/05/03 13:28] – [Eigene Diffie-Hellman Parameter erstellen] André Stollenwerk
+++ it_best_practise:apache:ssl_settings [2024/02/27 11:41] (current) – external edit 127.0.0.1
@@ Line 52: / Line 52: @@
 Weitere Details dazu sind [[https://weakdh.org/sysadmin.html|hier]] zu finden.
-Achtung: CentOS läuft mit Apache 2.4.6 [[https://crosp.net/blog/administration/install-latest-apache-server-centos-7/|hier]] gibt es eine Anleitung für das Update.
+**Achtung**: CentOS läuft mit Apache 2.4.6 [[https://crosp.net/blog/administration/install-latest-apache-server-centos-7/|hier]] gibt es eine Anleitung für das Update.
+==== Schlüsselaustausch via Diffie Hellman Elliptic Curve ====
+Apache kann schon per default ausgehend von einem RSA-Schlüssel den Schlüsselaustausch mit dem Client per Elliptischen Kurven durchführen. Dabei wird (auf meinen Systemen immer) eine Schlüssellänge von 256 Bit genutzt. Diese lässt sich hochstellen.
+Dazu muss man zuerst herausfinden welche Kurven auf einem System zur verfügung stehen:
+<code>
+openssl ecparam -list_curves
+</code>
+Anschließend kann man in der Apache (Version 2.4.8 oder höher) Config für den vHost festlegen, was man wirklich haben will. Dabei darf man natürlich nur Kurven auswählen, die das System auch kann...
+<code>
+SSLOpenSSLConfCmd ECDHParameters Automatic
+SSLOpenSSLConfCmd Curves secp521r1:secp384r1
+</code>
+Weitere Details dazu sind [[https://community.letsencrypt.org/t/making-the-key-exchange-stronger/8116|hier]] zu finden.
+**Achtung**: CentOS läuft mit Apache 2.4.6 [[https://crosp.net/blog/administration/install-latest-apache-server-centos-7/|hier]] gibt es eine Anleitung für das Update.
 ==== Weitere Versionsinformationen ====