@schroederk: WEISST Du, was Du damit gemacht hast? Eigentlich solltest Du den richtigen Wert für Dich selbst ermitteln, denn was für den einen passt, ist nicht unbedingt das, was der andere will.
Die Ciphers kann man sich quasi als den "Dialekt" vorstellen, in dem sich die beiden Gegenseiten über TLS unterhalten.
Jeder Client / jeder Server versteht / unterstützt verschiedene Dialekte.
Die Cipher selbst sind unterschiedlich sicher / unterschiedlich leicht knackbar.
Wenn Du Deinen Server auf bestimmte Ciphers beschränkst, dann gehst Du immer einen Kompromiss zwischen Kompatibilität (alte Browser unterstützen nur alte, unsichere Cipher) und Sicherheit (unsichere Cipher abschalten).
Es kann jetzt also sein, dass sich Benutzer / Kunden / wer auch immer sich auf Deinen Webserver aufschaltet nicht mehr mit Deinem Server connecten können, weil Du den einzigen Cipher abgeschaltet hast, den ihr Browser noch unterstützt hätte.
Ich verwende hierzu die von Ulrich genannte SSLLabs- Seite: Die läuft gegen Deinen Server und sagt Dir ganz genau, welche Browser / Client- Typen mit Deinem Server sprechen können, und wenn ja, welchen Cipher sie verwenden. Nun kannst Du die Einträge durchgehen und ggf. noch Cipher rausstreichen (wenn die nur für uralte Browser verwendet werden, die Du nocht mehr supporten willst) oder hinzufügen (wenn Du z.B. aus Unternehmensgründen noch uralte Browser wie IE9 o.ä. unterstützen musst.
Erst wenn Du das gemacht hast, kannst Du sicher sein, dass alle gewünschten Clients mit Deinem Server kommunizieren können.
Thema: TLS (wieder) verwundbar (ROBOT Attack) (Gelesen 4463 mal)