[Wien] little OT: Webserver neu/links/ssl

[Erich N. Pekarek]

Hallo!
Am 2015-11-12 um 10:27 schrieb Mike B. Kerber:
> Hallo!
>
> Danke für die Antworten und die schnellen Fixes.
>> Am Mittwoch, 11. November 2015, 20:55:04 schrieb Adi Kriegisch:
>>> ...
>> SSL3 />//>/Wohl kaum... sowohl RC4 als auch SSLv3 gehören auf jeden Fall
>> abgedreht! Da />/könnte bettercrypto.org auch hilfreich sein bei der Konfiguration... /
>> dort kam die config eigentlich ursprünglich her.
>> Anyway, fixed, weak DH gleich fixed und fehlerhaften ipv6-listener gefixed.
>>
>> Außerdem hatte ich für www./funkfeuer.at ein Let's Encrypt invite, das hab ich
>> auch gleich installiert, das liefert jetzt A+ bei ssllabs.com :
>> https://www.ssllabs.com/ssltest/analyze.html?d=funkfeuer.at
> A+  sieht doch gut aus ;) Könnte man ein letsencrypt für die webifs der
> nodes zur verfügung stellen?
Grundsätzlich schon. Den letsencrypt Client (python) müsste man dafür 
aber nachbauen, damit er nicht zuviel Speicherplatz braucht. Man könnte 
das px5g (auf polarssl) als Basis dafür nehmen - das sollte ausreichen. 
Das Cipher-Problem beim uhttpd löst das zwar noch nicht, aber dafür gibt 
es ssl-wrapper.
Alternativ könnte man die Zertifikate anderswo erstellen, und per ssh 
(keyed) regelmäßig bei ÄÖnderungen auf den Client "pushen".
> Wobei für den eigenen knoten ein passendes self signed  wohl meist
> reicht ...
Sicher.
>>> /> *) Frage bzgl openwrt: dort ist RC4 immer noch default (auch in chaos />/> calmer). Hat jemand erfahrung ob man das leicht raushauen kann beim />/> firmware bauen? />//>/Hmm... mir sind die ganzen Firmwares (also nicht nur OpenWRT &
>> ...