Eindelijk heb ik dan nu een werkend SSL certificaat op mijn website, maar wanneer ik op het groene slotje klik, krijg ik een melding te zien waarin staat dat "deze website gebruik maakt van verouderde beveiligingsinstellingen".
Bij het aanmaken van mijn CSR heb ik 2048 als Key Size gekozen en SHA256 als Certificate Type.
Wanneer ik mijn domeinnaam invul op https://www.poodlescan.com/ geeft deze aan dat ik "NOT VULNERABLE" ben. Wat zou het nog meer kunnen zijn? :/
Edit:
Het geeft ook aan dat mijn server geen SSL v2 en v3 ondersteund, zou er moet "verouderde beveiligsinstellingen" worden bedoeld dat ik v1 gebruik? (Althans, ik ga er vanuit dat dat dan gebruikt wordt.)
Ik krijg de volgende errors, waarschuwingen en meldingen:
- error: Sessies kunnen kwetsbaar zijn voor BEAST-aanvallen
- waarschuwing: HTTP Strict-Transport-Security is niet ingeschakeld op de server
- waarschuwing: De server heeft mogelijk onnodige certificaten verzonden tijdens de SSL/TLS-onderhandeling
- melding: De serverconfiguratie voldoet niet aan de FIPS-richtlijnen
- melding: OCSP stapling is niet geconfigureerd op de server
- melding: De server is nog niet geüpgraded naar een uitgebreid validatiecertificaat
- melding: Deze server heeft geen SPDY ingeschakeld
Toch krijg ik een "A" als cijfer:
- 100% certificaat
- 95% protocolondersteuning
- 90% Sleuteluitwisseling
- 90% Codeersterkte
A.d.h.v. dat cijfer kan ik er toch wel vanuit gaan dat mijn SSL op dit moment voldoende bescherming is?
Edit:
Het vreemde is dat ik hetzelfde SSL certificaat gebruik in DirectAdmin, en daar krijg ik de melding over verouderde beveilingsinstellingen niet.
Edit 2:
Blijkbaar ligt het probleem bij mijn anti-virus programma. Deze zou een eigen SSL certificaat hebben geïnstalleerd om main-in-the-middle tegen te gaan. Het probleem ligt dus niet bij mijn SSL certificaat maar bij die van mijn anti-virus.
