Disclaimer: Dieser Thread wurde aus dem alten Forum importiert. Daher werden eventuell nicht alle Formatierungen richtig angezeigt. Der ursprüngliche Thread beginnt im zweiten Post dieses Threads.
RC4 - Verschlüsselung
ja hi Leute ^^
ich hab heute meine Verschlüsselungen angeschaut und alle RC4-Verbindungen deaktiviert. Jetzt ist mir aufgefallen, ich habe keine Verbindung mehr zur www2.cs.fau.de Seite, da diese scheinbar nur über RC4 läuft ^^
Stellt der Lehrstuhl die Verbindung noch demnächst um? Aktuell habe ich eine Ausnahmeregel für die Seite eingerichtet ^^
nur mal so ein kleines Problem am Rande ^^
Schöne Ferien
4 „Gefällt mir“
Am besten wendest du dich damit direkt an den Lehrstuhl, keine Ahnung ob da hier jemand mitliest. Du bist nicht der erste, dem das Problem aufgefallen ist und sich hingewandt hat, wenn die Beschwerden über das setup zunehmen passiert vielleicht was.
Dadrauf bin ich auch schon gestoßen. Konnte wochenlang die LS2-Seite nicht aufrufen (hab sie aber auch nicht wirklich gebraucht), bis ich mal schaun wollte „warum“. Kurzer sslscan hat mir dann offenbart, dass nur RC4 akzeptiert wird – und das ist bei mir deaktiviert.
Hab mich aber noch nicht aufraffen können, den Lehrstuhl zu kontaktieren 
edit: Und gerade jetzt nach Heartbleed sollte man eh ein neues Zertifikat machen, dann könnte man das gleich verbinden (und nebenbei noch PFS aktivieren) 
Da muss ich jetzt lobende Worte finden
Inzwischen ist der LS2 besser als der LS1 und die FSI 
Lol what? Also bitte, jetz haben sie halt mal sinnvollerweise 2 AES-Ciphern angeschalten… Da is nix mit TLS1.2 
Die FSI-Seite hat ja immerhin auch sinnvolle Ciphern an, die man nutzt, wenn man RC4 ausschaltet, aber ich prangere das jetz auch mal an! 
Aber immernoch besser als studon, die haben noch gutes RC2-40bit! (https://www.ssllabs.com/ssltest/analyze.html?d=studon.uni-erlangen.de)
Ist ja gut
Habs mir diesmal nicht genauer angesehen, nur dass es sich deutlich verbessert hat
TLS1.2 is auf dem FSI-Server aber auch nicht (edit: TLS1.2 schon, ECDHE nicht), mangels Apache 2.4. Aus eigener Frickel-Erfahrung kann ich sagen, dass es gar nicht so einfach ist, das alles richtig hinzubekommen.
Oh, OK. Weißt du zufällig, wen man dafür treten muss? RC2 ist halt schon wirklich nicht mehr lustig, und auf der Seite tippen Leute ihre Passwörter und andere vertrauliche Dinge…
Joar gut, apache is da ja sehr eigen, was sowas wie updates betrifft…
[quote=neverpanic]
Oh, OK. Weißt du zufällig, wen man dafür treten muss? RC2 ist halt schon wirklich nicht mehr lustig, und auf der Seite tippen Leute ihre Passwörter und andere vertrauliche Dinge… [/quote]
Ne leider nicht, vllt mal beim RRZE nachhaken.
Campus macht da ja auch lustige Dinge (https://www.ssllabs.com/ssltest/analyze.html?d=campus.uni-erlangen.de)
Dein Account-Passwort tippst du ja beim SSO, das macht im Vergleich dazu sogar fast sinnvolle Dinge. Aber HTTPS ist beim Studon doch eh nur dazu da, um auf die HTTP-Seite zu redirecten. Da sind halt wahre Spezialexperten am Werk.
Du vielleicht, aber den Punkt „lokale Anmeldung“ auf der Startseite gibts sicher nicht umsonst.
Oh, äh, Argument. Das muss bestimmt so. Lass mal ganz viel Mail schreiben.
Das IDM hingegen kann sogar echt gute Verschlüsselung o.O
Ja, dafuer war das IDM auch als einziges (aber dafuer kritischstes) System von den genannten von Heartbleed betroffen. Nicht, dass ich sagen wollte, dass die neuere Crypto dort schlecht waere, im Gegenteil, nur kann man halt mit allem Pech haben
FYI: Das war Thema beim Gesprach mit ILI, ein Entwickler hat sich gerade dazu bei mir gemeldet und mitgeteilt, dass SSL auf der Prioliste ist, die Einführung vor dem SoSe 2014 aber nicht geklappt hat - sie haben es ganz nach oben für WS. Während dem Semester wollen sie’s nicht machen, da die Downtime zu groß ist. Und das die Informatikstudenten keine unsicheren Algorithmen mögen wissen sie nun auch
(Problem jetzt ist, dass man hin und wieder von https auf http umgeleitet wird - das soll sich da dann bessern)