SSLProtocol und SSLCipherSuite beschränken

[freacore]

Hallo,
Ich habe auf einem Raspberry Pi 3 Raspbian mit Nextcloud installiert und ein Zertifikat bei Letsencrypt erstellt. Nun wollte ich SSLProtocol und SSLCipherSuite beschränken.
Dazu editiere ich diese Datei: /etc/apache2/mods-enabled/ssl.conf und starte danach Apache neu.
Folgendes habe ich als Test hinzugefügt:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384"

Doch laut ssllabs.com/ssltest ändert sich weder an den unterstützten Protokollen, noch an den Cipher Suites etwas und der Server unterstützt weiter alles andere.
HSTS konnte ich aber über die ssl.conf aktivieren.

Wo liegt der Fehler? Muss ich eine andere Datei bearbeiten?

 

[0x8100]

nimm das mal aus deiner ssl.conf raus und trag das in die config-datei deines vhosts ein, z.b.:

<VirtualHost *:80>
  ServerName blablubb.de
  ServerAlias *.blablubb.de
  Redirect permanent / https://blablubb.de/
</VirtualHost>

<VirtualHost *:443>
  ServerName blablubb.de
  ServerAlias *.blablubb.de
  ServerAdmin webmaster@blablubb.de

  # SSL
  SSLEngine On

  SSLCertificateFile /etc/ssl/letsencrypt/blablubb.de.cer
  SSLCertificateKeyFile /etc/ssl/letsencrypt/blablubb.de.key
  SSLCACertificateFile /etc/ssl/letsencrypt/ca.cer

  SSLProtocol All -SSLv2 -SSLv3
  SSLHonorCipherOrder On
  SSLCompression off

  # Headers
  Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
  Header always set Content-Security-Policy "default-src https: data: 'self' 'unsafe-inline' 'unsafe-eval'"
  Header always set X-Frame-Options "SAMEORIGIN"
  Header always set X-Xss-Protection "1; mode=block"
  Header always set X-Content-Type-Options "nosniff"

  SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA'

  DocumentRoot /var/www/localhost/htdocs/

  <Directory "/var/www/localhost/htdocs">
    AllowOverride All
    Require all granted

    # add more stuff...

  </Directory>
</VirtualHost>

ps: ssl config nach https://bettercrypto.org/static/applied-crypto-hardening.pdf

 

[Yuuri]

Noch ne Anlaufstelle: https://cipherli.st/

 

[freacore]

nimm das mal aus deiner ssl.conf raus und trag das in die config-datei deines vhosts ein, z.b.:

Ich habe damit jetzt die /etc/apache2/sites-available/nextcloud.conf editiert, aber auch das hat keine Auswirkungen.

 

[LieberNetterFlo]

bei mir gehen die Settings von @0x8100 wunderbar, bekomme damit SSLLabs ein A+

 

[freacore]

Das A+ bekomme ich auch, aber es wird zB. immer noch 3DES unterstützt und ich kann damit nicht nur TLS 1.2 zulassen.

Ergänzung (8. Februar 2017)

Ich habe das Problem gelöst, indem ich die Konfiguration in dieser Datei gespeichert habe: /etc/apache2/sites-enabled/000-default-le-ssl.conf