Add information about DH param compatibility
[ach-master.git] / src / practical_settings / webserver.tex
index 2bfd072..d39de0c 100644 (file)
@@ -52,7 +52,7 @@ Starting with lighttpd version 1.4.29 Diffie-Hellman and Elliptic-Curve Diffie-H
 By default, elliptic curve "prime256v1" (also "secp256r1") will be used, if no other is given.
 To select special curves, it is possible to set them using the configuration options \verb|ssl.dh-file| and \verb|ssl.ec-curve|.
 
-\configfile{10-ssl-dh.conf}{11-12}{SSL EC/DH configuration for lighttpd}
+\configfile{10-ssl-dh.conf}{11-13}{SSL EC/DH configuration for lighttpd}
 
 Please read section \ref{section:DH} for more information on Diffie Hellman key exchange and elliptic curves.
 
@@ -135,7 +135,7 @@ See appendix \ref{cha:tools}
 
 To configure SSL/TLS on Windows Server IIS Crypto can be used.~\footnote{\url{https://www.nartac.com/Products/IISCrypto/}}
 Simply start the Programm, no installation required. The tool changes the registry keys described below.
-A restart ist required for the changes to take effect.
+A restart is required for the changes to take effect.
 
 \begin{figure}[p]
   \centering
@@ -185,7 +185,7 @@ forward secrecy, Microsoft SChannel (SSL/TLS, Auth,.. Stack) supports
 ECDSA but lacks support for RSA signatures (see ECC suite
 B doubts\footnote{\url{http://safecurves.cr.yp.to/rigid.html}}).
 
-Since one is stuck with ECDSA, an SSL certificate based on elliptic curves needs to be used.
+Since one is stuck with ECDSA, an elliptic curve certificate needs to be used.
 
 The configuration of cipher suites MS IIS will use, can be configured in one
 of the following ways:
@@ -202,7 +202,7 @@ one algorithm after another and the effect on the supported clients
 tested using https://www.ssllabs.com.
 
 \verb|SSL 3.0|, \verb|SSL 2.0| and \verb|MD5| are turned off.
-\verb|TLS 1.0| and \verb|TLS 2.0| are turned on.
+\verb|TLS 1.0| and \verb|TLS 1.2| are turned on.
 
 \ctable[%
 caption={Client support},
@@ -270,52 +270,6 @@ Set-WebConfiguration -Location "$WebSiteName/$WebApplicationName" `
 See appendix \ref{cha:tools}
 
 %%---------------------------------------------------------------------- 
-\subsection{Supporting older clients}
-% hack.
-\gdef\currentsectionname{Webservers-legacy}
-
-Older clients like Internet Explorer on Windows XP (actually the Windows XP
-crypto stack), Java 6 and Java 7 aren't supported by the recommended Variant B
-cipher string.
-To catch most of those old clients you might use their inability to understand
-SNI to create a catchall page with a default SSL server. On the default page
-you should provide information about upgrading their browser to the user.
-This will not work with Java 7 because Java 7 understands SNI.
-
-\subsubsection{Apache}
-% hack.
-\gdef\currentsubsectionname{Apache}
-
-Create a default SSL server:
-
-\configfile{ports.conf}{12-13}{SNI for SSL on Apache}
-\configfile{000-default-ssl}{2-14}{SNI catchall on Apache}
-
-The catchall virtual server needs to be the first server in the config.
-You also should not use snakeoil certificates (as in the snipplet above)
-but the very same certificate as you use for the real service. In case you
-provide several virtual servers via SNI, the certificate for the catchall page
-needs to include all their names.
-
-\subsubsection{lighttpd}
-% hack.
-\gdef\currentsubsectionname{lighttpd}
-
-\todo{someone needs to write that section or we just omit it}
-
-\subsubsection{nginx}
-% hack.
-\gdef\currentsubsectionname{nginx}
-
-Create a default SSL server:
-\configfile{default}{125-139}{SNI catchall on nginx}
-
-The real service then needs to be in its own server definition omitting the
-\texttt{default} keyword in the \texttt{listen} directive.
-You should not use snakeoil certificates (as in the snipplet above) but the
-very same certificate as you use for the real service. In case you provide
-several virtual servers via SNI, the certificate for the catchall page needs
-to include all their names.
 
 %%% Local Variables: 
 %%% mode: latex