<div dir="ltr">Yes, that's what I was planning to do. i.e. Convert cipher names from SSL to NSS. I wasn't sure about the other settings though. Is there an equivalent NSSHonorCipherOrder ? Is that implicit ? Similarly, are there equivalent configs for HSTS on the mozilla page? Does NSS allow using generated DH parameters instead of standard ones ? For SSL, the suggested modification to the config is 'SSLOpenSSLConfCmd DHParameters "{path to dhparams.pem}"' after generating the params.</div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 4, 2015 at 8:21 PM, Fraser Tweedale <span dir="ltr"><<a href="mailto:ftweedal@redhat.com" target="_blank">ftweedal@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wed, Nov 04, 2015 at 05:03:29PM -0800, Prasun Gera wrote:<br>
> Thanks for the ticket information. I would still be interested in<br>
> configuring mod_nss properly (irrespective of whether the certs are ipa<br>
> generated or 3rd party). These are the worrying notes from ssllabs test:<br>
><br>
> The server supports only older protocols, but not the current best TLS 1.2.<br>
> Grade capped to C.<br>
> This server accepts the RC4 cipher, which is weak. Grade capped to B.<br>
> The server does not support Forward Secrecy with the reference browsers.<br>
><br>
</span>Use the "Modern" cipher suite[1] recommended by Mozilla as a<br>
starting point.  See also the "Cipher names correspondence table" on<br>
the same page for translating it to cipher names understood by NSS<br>
to construct a valid setting for the `NSSCipherSuite' directive.<br>
<br>
[1] <a href="https://wiki.mozilla.org/Security/Server_Side_TLS#Modern_compatibility" rel="noreferrer" target="_blank">https://wiki.mozilla.org/Security/Server_Side_TLS#Modern_compatibility</a><br>
<br>
Cheers,<br>
Fraser<br>
<div class="HOEnZb"><div class="h5"><br>
><br>
> On Wed, Nov 4, 2015 at 4:44 PM, Fraser Tweedale <<a href="mailto:ftweedal@redhat.com">ftweedal@redhat.com</a>> wrote:<br>
><br>
> > On Wed, Nov 04, 2015 at 03:20:22PM -0800, Prasun Gera wrote:<br>
> > > I'm using idm (4.1.x) on a RHEL 7.1 with the webui accessible publicly.<br>
> > I'm<br>
> > > using a stock configuration which uses the certs signed by ipa's CA for<br>
> > the<br>
> > > webui. This is mostly for convenience since it manages renewals<br>
> > seamlessly.<br>
> > > This, however, requires users to add the CA as trusted to their<br>
> > browsers. A<br>
> > > promising alternative to this is <a href="https://letsencrypt.org/" rel="noreferrer" target="_blank">https://letsencrypt.org/</a>, which issues<br>
> > > browser trusted certs, and will manage auto renewals too (in the future).<br>
> > > As a feature request, it would be nice to have closer integration between<br>
> > > ipa and the letsencrypt client which would make managing certs simple.<br>
> > I'm<br>
> > > about to set this up manually right now using the external ssl certs<br>
> > guide.<br>
> > ><br>
> > Let's Encrypt is on our radar.  I like the idea of being able to<br>
> > install FreeIPA with publicly-trusted certs for HTTP and LDAP from<br>
> > the beginning.  This would require some work in ipa-server-install<br>
> > in addition to certmonger support and a good, stable Let's Encrypt /<br>
> > ACME client implementation for Apache on Fedora.<br>
> ><br>
> > Installing publicly-trusted HTTP / LDAP certs is a common activity<br>
> > so I filed a ticket: <a href="https://fedorahosted.org/freeipa/ticket/5431" rel="noreferrer" target="_blank">https://fedorahosted.org/freeipa/ticket/5431</a><br>
> ><br>
> > Cheers,<br>
> > Fraser<br>
> ><br>
> > > Secondly, since the webui uses mod_nss, how would one set it up to prefer<br>
> > > security over compatibility with older clients ? The vast majority of<br>
> > > documentation online (for eg.<br>
> > > <a href="https://mozilla.github.io/server-side-tls/ssl-config-generator/" rel="noreferrer" target="_blank">https://mozilla.github.io/server-side-tls/ssl-config-generator/</a>) is<br>
> > about<br>
> > > mod_ssl and I think the configuration doesn't transfer directly to<br>
> > mod_nss.<br>
> > > Since this is the only web facing component, I would like to set it up to<br>
> > > use stringent requirements. Right now, a test on<br>
> > > <a href="https://www.ssllabs.com/ssltest/" rel="noreferrer" target="_blank">https://www.ssllabs.com/ssltest/</a> and <a href="https://weakdh.org/sysadmin.html" rel="noreferrer" target="_blank">https://weakdh.org/sysadmin.html</a><br>
> > > identifies<br>
> > > several issues. Since these things are not really my area of expertise, I<br>
> > > would like some documentation regarding this. Also, would manually<br>
> > > modifying any of the config files be overwritten by a yum update ?<br>
> ><br>
> > > --<br>
> > > Manage your subscription for the Freeipa-users mailing list:<br>
> > > <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
> > > Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
> ><br>
> ><br>
</div></div></blockquote></div><br></div>