Ein paar Vorschläge wie eure HTTPS-Einstellungen verbessert werden können.
Besonders wichtig wäre alle HTTP-Anfragen nach HTTPS weiterzuleiten. Momentan kann es schnell passieren das Login-Daten oder Session-Cookies im Klartext übertragen werden.
In dem Zusammenhang auch nicht vergessen die Cookies als secure zu markieren, damit sie auch wirklich nur per HTTPS übertragen werden, und nicht schon beim anfänglichen HTTP-Request dabei sind.
Dann benutzt ihr auch schwache Diffie-Hellman-Parameter. Nur 1024 bit Schlüssellänge und die Primzahlen sind sehr verbreitet. Soweit man weiß wird diese Kombination seit Jahren aktiv von der NSA ausgenutzt um Massenweise verschlüsselte Verbindungen zu knacken.
Weitere Einstellungen über die man nachdenken könnte:
- OCSP stapling aktivieren.
- Strict Transport Security (HSTS) aktivieren.
- Auch noch die AES 256-Versionen der derzeit aktiven Cipher Suites aktivieren. Müssen ja nicht unbedingt in der Liste oben stehen.
- DNSSEC aktivieren.
Edit: Fast vergessen, hier ist der aktuelle Testbericht: https://www.ssllabs.com/ssltest/anal...d=filecrypt.cc
Zitieren
