For at opretholde et højt sikkerhedsniveau i FMK rettes listen af supporterede ciphers på alle FMK endpoints til følgende:
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
SSL_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
SSL_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
SSL_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
SSL_ECDHE_RSA_WITH_AES_256_GCM_SHA384
SSL_ECDHE_RSA_WITH_AES_256_CBC_SHA384
SSL_ECDHE_RSA_WITH_AES_128_GCM_SHA256
SSL_ECDHE_RSA_WITH_AES_128_CBC_SHA256
SSL_ECDHE_RSA_WITH_AES_128_CBC_SHA
SSL_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_AES_128_GCM_SHA256
Ændringen gennemføres den 1. februar på test miljøerne og 1. marts på alle endpoints i prod.
Hej. Jeg synes stadig det er muligt at gennemføre requests til FMK på TEST2 uden de nævnte ciphers. Er det implementeret?
/Mikkel Andersen
Hej Mikkel
jeg har fået det bekræftet af driftleverandøren at de gamle ciphers er blevet fjerne og ssllabs.com viser det samme (se vedhæftet output).
Vh
Søren
Hej Søren.
Jeg kan se at det er nogle andre test endpoints der står i rapporten end dem vi bruger til FMK api'et. Er det kun browserbaseret adgang, altså FMK-online der lukkes for?
Her er nemlig et kald jeg har lavet til test2-cnsp.ekstern-test.nspop.dk:8443 som går fint igennem - uden brug af de nævnte Ciphers eller TLS niveau.
Version: 3.1 (TLS/1.0)
Random: 60 36 7A 02 EC 4E CB EB AD A2 0D 93 C5 66 2E 51 E3 E6 C3 A5 C3 40 EA 15 86 E0 B8 99 17 5D 27 E6
"Time": 27-04-1971 03:29:04
SessionID: empty
Extensions:
ec_point_formats uncompressed [0x0], ansiX962_compressed_prime [0x1], ansiX962_compressed_char2 [0x2]
supported_groups sect163k1 [0x1], sect163r1 [0x2], sect163r2 [0x3], sect193r1 [0x4], sect193r2 [0x5], sect233k1 [0x6], sect233r1 [0x7], sect239k1 [0x8], sect283k1 [0x9], sect283r1 [0xa], sect409k1 [0xb], sect409r1 [0xc], sect571k1 [0xd], sect571r1 [0xe], secp160k1 [0xf], secp160r1 [0x10], secp160r2 [0x11], secp192k1 [0x12], secp192r1 [0x13], secp224k1 [0x14], secp224r1 [0x15], secp256k1 [0x16], secp256r1 [0x17], secp384r1 [0x18], secp521r1 [0x19]
SessionTicket empty
Ciphers:
[C014] TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
[C00A] TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
[0039] TLS_DHE_RSA_WITH_AES_256_CBC_SHA
[0038] TLS_DHE_DSS_WITH_AES_256_CBC_SHA
[C00F] TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
[C005] TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
[0035] TLS_RSA_WITH_AES_256_CBC_SHA
[0088] TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA
[0087] TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA
[0084] TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
[C012] TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
[C008] TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
[0016] SSL_DHE_RSA_WITH_3DES_EDE_SHA
[0013] SSL_DHE_DSS_WITH_3DES_EDE_SHA
[C00D] TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA
[C003] TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA
[000A] SSL_RSA_WITH_3DES_EDE_SHA
[C013] TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
[C009] TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
[0033] TLS_DHE_RSA_WITH_AES_128_CBC_SHA
[0032] TLS_DHE_DSS_WITH_AES_128_CBC_SHA
[C00E] TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
[C004] TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
[002F] TLS_RSA_WITH_AES_128_CBC_SHA
[009A] TLS_DHE_RSA_WITH_SEED_CBC_SHA
[0099] TLS_DHE_DSS_WITH_SEED_CBC_SHA
[0045] TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA
[0044] TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA
[0096] TLS_RSA_WITH_SEED_CBC_SHA
[0041] TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
[0007] SSL_RSA_WITH_IDEA_SHA
[C011] TLS_ECDHE_RSA_WITH_RC4_128_SHA
[C007] TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
[C00C] TLS_ECDH_RSA_WITH_RC4_128_SHA
[C002] TLS_ECDH_ECDSA_WITH_RC4_128_SHA
[0005] SSL_RSA_WITH_RC4_128_SHA
[0004] SSL_RSA_WITH_RC4_128_MD5
[0015] SSL_DHE_RSA_WITH_DES_SHA
[0012] SSL_DHE_DSS_WITH_DES_SHA
[0009] SSL_RSA_WITH_DES_SHA
[0014] SSL_DHE_RSA_EXPORT_WITH_DES40_SHA
[0011] SSL_DHE_DSS_EXPORT_WITH_DES40_SHA
[0008] SSL_RSA_EXPORT_WITH_DES40_SHA
[0006] SSL_RSA_EXPORT_WITH_RC2_40_MD5
[0003] SSL_RSA_EXPORT_WITH_RC4_40_MD5
[00FF] TLS_EMPTY_RENEGOTIATION_INFO_SCSV
Compression:
[01] DEFLATE
[00] NO_COMPRESSION
Hej Mikkel
test2.fmk.netic.dk er det direkte til FMK endpoint - den bruges til FMK, DDV og FMK-Online.
Ændringen på ciphers og TLS vedrører både FMK, DDV og FMK-Online (m.m.) (også i prod).
Det endpoint du tester på tilhører dog NSP, som ikke hører under FMK projektet - jeg opdaterer lige den support sag som du har oprettet, sådan at NSP folkene kan tage et kig på deres opsætning.
Vh
Søren