[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [InetBib] SSL Web-Servereinstellungen



Hallo,

trotz der Gefahr einen Shitstorm auf mich zu ziehen, möchte ich das Thema relativieren. - Ja - OPACs sollten verschlüsselt angeboten werden, um das Abhören zu erschweren. - Ja - Es ist besser auch die anonyme Recherche gegen Abhören zu schützen und nicht nur den Login-Bereich. - Ja - "perfect forward secrecy" (PFS) macht das Verschlüsselungsverfahren signifikant sicherer. - Nein - Ich sehe keinen dringenden Bedarf für PFS. Bei neuen Installationen werde ich es wahrscheinlich aktivieren. Laufende Systeme werde ich nicht umstellen.

Meine Einschätzung ergibt sich aus der Überlegung vor welchen Angreifern ich meine Leser schützen will. Für mich sind dass hauptsächlich mittelkompetente wie Arbeitgeber oder Skript-Kiddies. Bei hochkompetenten Angreifern (NSA und Consorten) gehe ich davon aus, dass diese im Zweifelsfall eher den PC der Leser oder 'Teufel auch' meinen Server kompromittiert haben und an der Quelle mitlesen. Als Bild formuliert. Ich klebe Briefe zu, dass nicht jeder unbemerkt mitlesen kann. Ich verzichte aber auf ein Siegel, weil auch dass nichts hilft, wenn mir jemand beim Schreiben über die Schulter sieht.

Ja, diese Denke ist fatalistisch und potentiell gefährlich. Aber ich halte sie in diesem Fall trotzdem für angebracht und formuliere nochmal kurz:
- PFS ist sicher sinnvoll
- HTTPS ohne PFS ist nicht verantwortungslos
- Die Übertragung persönlicher Daten ohne HTTPS ist verantwortungslos.

Zu PFS gibt es übrigens einen einführenden Artikel (Jürgen Schmidt, Verpfuschte Verschlüsselung, in C't magazin für computer technik, 2013 Heft 18 Seite 16ff)

Viele Grüße
Uwe Reh


Am 05.09.2013 07:35, schrieb Bohne-Lang, Andreas:
Liebe Liste,

dass man den Login-Bereich eines Online-Katalog inzwischen per https://
zugänglich machen sollte, um eine verschlüsselte Verbindung zwischen
Server und Client zu ermöglichen, weiß jeder.

Aber dass bei dem Verbindungsaufbau der Client und der Server viele
Parameter bezüglich der Kommunikation aushandeln, ist weniger bekannt
und dass einige der potentiell möglichen Varianten verwundbar/unsicher
sind, noch wenigeren.

Wer die SSL-Konfiguration seines Web-Servers mal überprüfen möchte, kann
auf einen freien Dienst wie https://www.ssllabs.com/ssltest/
zurückgreifen. Der Test dort und der anschließende Report sind sehr
detailliert und aufschlussreich.

Bei der Überarbeitung und Optimierung der Apache-Webservereinstellungen
in Richtung "perfect forward secrecy" (ein derzeit angepriesene
Sicherheitsmethode) bin ich in einem Blog
(http://stackoverflow.com/questions/17308690/how-do-i-enable-perfect-forward-secrecy-by-default-on-apache)
fündig geworden.

Die folgenden Konfig-Zeilen ermöglichen beim Apache-Webserver (ab
Version 2.2.x) ein höheres SSL-Sicherheitsniveau. Vielleicht ist diese
Konfiguration für den einen oder anderen Systemverantwortlichen hilfreich:


SSLProtocol all -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite
EECDH+AES:EDH+AES:-SHA1:EECDH+RC4:EDH+RC4:RC4-SHA:EECDH+AES256:EDH+AES256:AES256-SHA:!aNULL:!eNULL:!EXP:!L

OW:!MD5

Grundidee ist, dass man sichere Protokolle zuerst anbietet und unsichere
unterbindet.

Viele Grüße

Andreas Bohne-Lang


--
http://www.inetbib.de


Listeninformationen unter http://www.inetbib.de.