Hallo Rene.
Thx für deine Ergänzung.
Am 25.04.19 um 15:03 schrieb Rene Pasing:
... Das AKIF-Dokument empfiehlt für die praktische Umsetzung die Website bettercrypto.org (auf Seite 2 am Ende), die aber auch als Best Practices für Apache+NGINX (und weitere, zB Dovecot, Postfix, ...) TLS 1.0 und 1.1 aktiviert lässt, und für NGINX 1.3 nicht aktiviert. ...
Genau das ist mir auf [0] auch aufgefallen, daher der Hinweis in der initialen E-Mail. Du hast zudem natürlich recht, dass es noch weitere Dienste gibt, bei denen TLS modern implementiert werden sollte ;)
Das mit der Aktualität wurde übrigens bereits auf der passenden Mailingliste [1] diskutiert: "it is at least extremely passive"
VG
Bernd
[0] https://bettercrypto.org/#_apache
[1] https://lists.cert.at/pipermail/ach/2018-October/002311.html
Das wirkt daher wie eine veraltete Empfehlung (die eben sogar der AKIF-Empfehlung widerspricht), cipherli.st erscheint hier sinnvoller (mit obiger Notiz). Warum die Autoren der (ansonsten technisch fundierten) Empfehlung dies nicht entsprechend benannt haben verstehe ich nicht?
[1] = https://caniuse.com/#feat=tls1-3 _______________________________________________ rwth-security mailing list -- rwth-security@lists.rwth-aachen.de To unsubscribe send an email to rwth-security-leave@lists.rwth-aachen.de