add more todo sections
[ach-master.git] / src / practical_settings.tex
index b866a8f..ebbf445 100644 (file)
@@ -1,6 +1,5 @@
 \section{Recommendations on practical settings}
 
 \section{Recommendations on practical settings}
 
-
 \subsection{SSL}
 
 %%% NOTE: we do not need to list this all here, can move to an appendix
 \subsection{SSL}
 
 %%% NOTE: we do not need to list this all here, can move to an appendix
@@ -147,6 +146,8 @@ Based on this ordering, we can now define the corresponding settings for servers
 
 \subsubsection{Apache}
 
 
 \subsubsection{Apache}
 
+\todo{separate into Variant A and B}
+
 Note: a "\textbackslash" (backslash) denotes a line continuation which was wrapped due to formatting reasons here. Do not copy it verbatim.
 
 %-All +TLSv1.1 +TLSv1.2
 Note: a "\textbackslash" (backslash) denotes a line continuation which was wrapped due to formatting reasons here. Do not copy it verbatim.
 
 %-All +TLSv1.1 +TLSv1.2
@@ -187,6 +188,9 @@ You should redirect everything to httpS:// if possible. In Apache you can do thi
 
 \subsubsection{lighttpd}
 
 
 \subsubsection{lighttpd}
 
+\todo{separate into Variant A and B}
+
+
 %% Note: need to be checked / reviewed
 
 %% Complete ssl.cipher-list with same algo than Apache
 %% Note: need to be checked / reviewed
 
 %% Complete ssl.cipher-list with same algo than Apache
@@ -222,6 +226,9 @@ As for any other webserver, you should redirect automatically http traffic towar
 
 \subsubsection{nginx}
 
 
 \subsubsection{nginx}
 
+\todo{separate into Variant A and B}
+
+
 \begin{verbatim}
   ssl_prefer_server_ciphers on;
   ssl_protocols -SSLv2 -SSLv3; 
 \begin{verbatim}
   ssl_prefer_server_ciphers on;
   ssl_protocols -SSLv2 -SSLv3; 
@@ -257,6 +264,9 @@ You should redirect everything to httpS:// if possible. In Nginx you can do this
 \subsubsection{MS IIS}
 \label{sec:ms-iis}
 
 \subsubsection{MS IIS}
 \label{sec:ms-iis}
 
+
+\todo{separate into Variant A and B}
+
 When trying to avoid RC4 and CBC (BEAST-Attack) and requiring perfect
 forward secrecy, Microsoft Internet Information Server (IIS) supports
 ECDSA, but does not support RSA for key exchange (consider ECC suite
 When trying to avoid RC4 and CBC (BEAST-Attack) and requiring perfect
 forward secrecy, Microsoft Internet Information Server (IIS) supports
 ECDSA, but does not support RSA for key exchange (consider ECC suite
@@ -328,6 +338,9 @@ Not supported Clients:
 
 \subsubsection{Dovecot}
 
 
 \subsubsection{Dovecot}
 
+
+\todo{separate into Variant A and B}
+
 Dovecot 2.2:
 
 % Example: http://dovecot.org/list/dovecot/2013-October/092999.html
 Dovecot 2.2:
 
 % Example: http://dovecot.org/list/dovecot/2013-October/092999.html
@@ -347,8 +360,12 @@ Dovecot 2.1: Almost as good as dovecot 2.2. Does not support ssl\_prefer\_server
 
 \subsubsection{Cyrus}
 
 
 \subsubsection{Cyrus}
 
+\todo{write this subsubsection}
+
 \subsubsection{UW}
 
 \subsubsection{UW}
 
+\todo{write this subsubsection}
+
 Another option to secure IMAPs servers is to place them behind an stunnel server. 
 
 % XXX config von Adi?
 Another option to secure IMAPs servers is to place them behind an stunnel server. 
 
 % XXX config von Adi?
@@ -359,6 +376,9 @@ Another option to secure IMAPs servers is to place them behind an stunnel server
 
 \subsubsection{Postfix}
 
 
 \subsubsection{Postfix}
 
+
+\todo{separate into Variant A and B}
+
 First, you need to generate Diffie Hellman parameters (please first take a look at the section \ref{section:PRNG}):
 
 \begin{verbatim}
 First, you need to generate Diffie Hellman parameters (please first take a look at the section \ref{section:PRNG}):
 
 \begin{verbatim}
@@ -419,11 +439,15 @@ $ zegrep "TLS connection established from.*with cipher" /var/log/mail.log | \
 Source: \url{http://www.postfix.org/TLS_README.html}
 
 \subsubsection{SMTP: opportunistic TLS}
 Source: \url{http://www.postfix.org/TLS_README.html}
 
 \subsubsection{SMTP: opportunistic TLS}
+
+\todo{write this subsubsection}
+
 % do we need to documment starttls in detail?
 %\subsubsection{starttls?}
 
 \subsection{SSH}
 
 % do we need to documment starttls in detail?
 %\subsubsection{starttls?}
 
 \subsection{SSH}
 
+
 \begin{verbatim}
        RSAAuthentication yes
        PermitRootLogin no
 \begin{verbatim}
        RSAAuthentication yes
        PermitRootLogin no
@@ -439,12 +463,15 @@ Note: older linux systems won't support SHA2, PuTTY does not support RIPE-MD160.
 
 \subsection{OpenVPN}
 
 
 \subsection{OpenVPN}
 
+\todo{write this subsection}
+
 \subsection{IPSec}
 \subsection{IPSec}
+\todo{write this subsection}
 
 \subsection{PGP}
 
 
 \subsection{PGP}
 
-\subsection{PRNG settings}
-\label{section:PRNG}
+\todo{write this subsection}
+
 
 
 %%% Local Variables: 
 
 
 %%% Local Variables: