Ele hat geschrieben: ↑Di 21. Sep 2021, 16:40
Um es vorweg zu nehmen, ich habe nicht wirklich Ahnung von der Materie aber hatte mich vor längerer Zeit schon mit dem Thema IOTServer beschäftigt bevor ich jetzt seit ein paar Wochen auf das Skript umgestiegen bin. Davor hab das Projekt von sensorsIOT (
https://github.com/SensorsIot/IOTstack/tree/master/) genutzt und viel gelernt und gebastelt.
Zum eigentlichen Thema:
Man kann die Sichreheit der SSL-Verschlüsselung in traefik mit ein paar Zeilen Code verbessern.
Ich beziehe mich hierbei auf einen Blogpost auf goNeuland.de
https://goneuland.de/traefik-v2-https-v ... erbessern/
Alles wichtige wird dort beschrieben. Für meine Installation war es sogar noch einfacher, es wird einfach die config.yml in /ei23-docker/volumes/traefik/traefik/dynamic um diese zeilen code erweitert:
Code: Alles auswählen
tls:
options:
default:
minVersion: VersionTLS12
cipherSuites:
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
- TLS_AES_128_GCM_SHA256
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
curvePreferences:
- CurveP521
- CurveP384
sniStrict: true
Nach einem Test auf
SSL Labs hatte ich danach ein A-Ranking (Vorher B).
Was auch immer das genau heißen mag.
Ihr könnt ja mal euren Senf dazu geben, ob das ganze sinnvoll ist oder evtl. sogar schlechter.
Grüße Ele
Hi Ele,
danke für deinen Beitrag!
Soweit ich weiß verschlüsselt Traefik mit einem guten Browser wie dem Firefox im TLS_CHACHA20_POLY1305_SHA256 bzw. mit SHA256 und RSA mit 4096 Bit und das ist sehr sicher!
Mit dem Internet Explorer 7 sieht vermutlich schon wieder anders aus... Aber nutzt den jemand? Ich hoffe nicht!
Man kann es wie in deinem Link beschrieben verbessern, ähnlich wie mit https Zwang.
Grundsätzlich kann man den Standardeinstellungen aber schon vertrauen, vorallem wenn man nicht vom Fach ist oder weiß was man da verändert oder verstellt.
Die Probleme, warum Traefik runtergestuft wird, sind vorallem wegen der vorhandenen Abwärtskompatiblität
This server does not support Forward Secrecy with the reference browsers. Grade capped to B. MORE INFO »
This server supports TLS 1.0 and TLS 1.1. Grade capped to B. MORE INFO »
Ich lasse das daher erstmal optional. Wer weiß wer noch den IE7 nutzt
Und dieser Comic zeigt es auch ganz gut:
https://xkcd.com/538/
Soweit mein Senf dazu
Jetzt muss ich wieder in die Projekte
Viele Grüße
Felix
