Hallo Klaus,
Am 14.08.2013 10:27, schrieb Klaus Tachtler:
Evtl. versuchen die Provider Ihre Sicherheit durch "PFS" - Perfect Forward Security zu verbessern.
[...]
Dies setzt voraus, das in openssl eine Schlüsselvereinbarung nach Diffie-Hellmann möglich ist.
Mach mal 'openssl ciphers' in der shell, hier muss DHE-... oder noch besser (aber unwahrscheinlich) ECDH-... als eine Möglichkeit auftauchen.
Vergleiche mal openssl auf CentOS 5 und CentOS 6...
Die Provider wollen nämlich "cipher=DHE-RSA-AES128-SHA, bits=128/128" sprechen...
CentOS 5: [ts@gimli ~]$ openssl ciphers DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA:KRB5-DES-CBC3-MD5:KRB5-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:DES-CBC3-SHA:DES-CBC3-MD5:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:AES128-SHA:RC2-CBC-MD5:KRB5-RC4-MD5:KRB5-RC4-SHA:RC4-SHA:RC4-MD5:RC4-MD5:KRB5-DES-CBC-MD5:KRB5-DES-CBC-SHA:EDH-RSA-DES-CBC-SHA:EDH-DSS-DES-CBC-SHA:DES-CBC-SHA:DES-CBC-MD5:EXP-KRB5-RC2-CBC-MD5:EXP-KRB5-DES-CBC-MD5:EXP-KRB5-RC2-CBC-SHA:EXP-KRB5-DES-CBC-SHA:EXP-EDH-RSA-DES-CBC-SHA:EXP-EDH-DSS-DES-CBC-SHA:EXP-DES-CBC-SHA:EXP-RC2-CBC-MD5:EXP-RC2-CBC-MD5:EXP-KRB5-RC4-MD5:EXP-KRB5-RC4-SHA:EXP-RC4-MD5:EXP-RC4-MD5
CentOS 6: [ts@gimli ~]$ ssh posthamster openssl ciphers DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-CAMELLIA256-SHA:DHE-DSS-CAMELLIA256-SHA:AES256-SHA:CAMELLIA256-SHA:PSK-AES256-CBC-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:DES-CBC3-SHA:PSK-3DES-EDE-CBC-SHA:KRB5-DES-CBC3-SHA:KRB5-DES-CBC3-MD5:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-SEED-SHA:DHE-DSS-SEED-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-DSS-CAMELLIA128-SHA:AES128-SHA:SEED-SHA:CAMELLIA128-SHA:PSK-AES128-CBC-SHA:RC4-SHA:RC4-MD5:PSK-RC4-SHA:KRB5-RC4-SHA:KRB5-RC4-MD5:EDH-RSA-DES-CBC-SHA:EDH-DSS-DES-CBC-SHA:DES-CBC-SHA:KRB5-DES-CBC-SHA:KRB5-DES-CBC-MD5:EXP-EDH-RSA-DES-CBC-SHA:EXP-EDH-DSS-DES-CBC-SHA:EXP-DES-CBC-SHA:EXP-RC2-CBC-MD5:EXP-KRB5-RC2-CBC-SHA:EXP-KRB5-DES-CBC-SHA:EXP-KRB5-RC2-CBC-MD5:EXP-KRB5-DES-CBC-MD5:EXP-RC4-MD5:EXP-KRB5-RC4-SHA:EXP-KRB5-RC4-MD5
DHE-RSA-AES128-SHA ist also bei beiden drin.
[ts@gimli ~]$ openssl ciphers | tr ':' '\n' | sort > gimli-ciphers [ts@gimli ~]$ ssh posthamster openssl ciphers | tr ':' '\n' | sort > posthamster-ciphers [ts@gimli ~]$ diff -u gimli-ciphers posthamster-ciphers --- gimli-ciphers 2013-08-14 11:48:18.000000000 +0200 +++ posthamster-ciphers 2013-08-14 11:48:27.000000000 +0200 @@ -1,13 +1,19 @@ AES128-SHA AES256-SHA -DES-CBC3-MD5 +CAMELLIA128-SHA +CAMELLIA256-SHA DES-CBC3-SHA -DES-CBC-MD5 DES-CBC-SHA DHE-DSS-AES128-SHA DHE-DSS-AES256-SHA +DHE-DSS-CAMELLIA128-SHA +DHE-DSS-CAMELLIA256-SHA +DHE-DSS-SEED-SHA DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA +DHE-RSA-CAMELLIA128-SHA +DHE-RSA-CAMELLIA256-SHA +DHE-RSA-SEED-SHA EDH-DSS-DES-CBC3-SHA EDH-DSS-DES-CBC-SHA EDH-RSA-DES-CBC3-SHA @@ -22,8 +28,6 @@ EXP-KRB5-RC4-MD5 EXP-KRB5-RC4-SHA EXP-RC2-CBC-MD5 -EXP-RC2-CBC-MD5 -EXP-RC4-MD5 EXP-RC4-MD5 KRB5-DES-CBC3-MD5 KRB5-DES-CBC3-SHA @@ -31,7 +35,10 @@ KRB5-DES-CBC-SHA KRB5-RC4-MD5 KRB5-RC4-SHA -RC2-CBC-MD5 -RC4-MD5 +PSK-3DES-EDE-CBC-SHA +PSK-AES128-CBC-SHA +PSK-AES256-CBC-SHA +PSK-RC4-SHA RC4-MD5 RC4-SHA +SEED-SHA
D.h. auf CentOS 6 sind ein paar (nicht alle) MD5-Varianten weggefallen, dafür sind die Verschlüsselungsverfahren Camellia und SEED sowie PSK als Schlüsselaustauschverfahren dazugekommen. Das sollte eigentlich alles kein Problem sein.
Außerdem interpretiere ich die Fehlermeldung so, dass mein CentOS 5 Server die von GMX bzw. web.de angebotenen Verfahren für unzureichend hält - nicht umgekehrt. Eine Dokumentation, was die Meldung offiziell besagen soll, habe ich allerdings nicht gefunden.
Grüße, Tilman