Webserver: HTTPS prüfen und SSL Sicherheit erhöhen

 

HTTP ist unsicher. HTTPS in gewissen Grenzen auch. Die letzten Monate haben mit Heartbleed, Poodle & Co. dazu beigetragen, dass man sich auch oder gerade wegen HTTPS ein paar weitergehende Gedanken machen sollte. HTTPS ist nicht gleich HTTPS, auch wenn etwas Sicherheit natürlich besser ist als gar keine. Aber „etwas“ Sicherheit schafft unter Umständen das falsche Vertrauen. „SSL is broken“ ist leider eine nicht ganz falsche Aussage. Falsche Konfigurationen von SSL (Cipher Suiten, Rückfall auf alte, gebrochene Protokollversionen usw.) sorgen dafür, dass eine HTTPS verschlüsselte Verbindung grundsätzlich falsches Vertrauen schafft, die Kommunikation u.U. relativ „einfach“ für Angreifen zu öffnen ist.

 

Damit man einfach mal einen kleinen Überblick über den Status seiner HTTPS Verbindungen sichtbar und gut aufgelistet erhält sollte man mal einen Blick auf den SSL Test von Qualys unter https://www.ssllabs.com/ssltest/ werfen. Die prüfen die SSL Verbindung auf verschiedene Merkmale hin ab und bewerten dieses. In einfacher und verständlicher Bewertung wird einem ein Ergebnis geliefert sowie mögliche Fehler, Verbesserungen und Probleme aufgezeigt.
Sollte man keine A Bewertung haben lohnt es sich, etwas nachzulesen und seinen Webserver zu prüfen.

 

Hat man Zugriff auf seinen Webserver und kann dort recht frei agieren sollte man sich der Sache annehmen. Schaltet man ein paar Optionen, Protokolle Verschlüsselungen usw. aus bzw. ein wird das angemerkte Problem gleich kleiner.

 

Man sollte sich überlegen, wie weit man die Sicherheit aufbrechen sollte um völlig veraltete Betriebssysteme oder Browser (Android 2.3.x, Windows XP, IE6) zu unterstützen. Oder sollte man einfach mal einen „harten Schnitt“ vornehmen und die Sicherheit an erste Stelle stellen? Ja. Sollte man.

Nachfolgende Einstellungen sind darauf ausgelegt, die bestmögliche Verschlüsselung (Stand: Dez. 2014) zu aktivieren bzw. zu erhöhen. Auf Kollateralschäden kann und wird keine Rücksicht genommen. Wer noch immer mit Modem und Windows XP im Internet unterwegs ist hat in den letzten Jahren wenig gelernt und kann und wird ob der Problematik scheinbar auch nicht schlauer. Da hilft es auch überhaupt nicht, diese Nutzer auch weiterhin zu unterstützen und mitzuschleppen. Ein harter Cut für mehr Sicherheit ist besser als Rücksicht auf ein paar „Verlorene“ zu nehmen und weiterhin alte, unsichere oder problematische Protokolle zu unterstützen…

 

Grundsätzlich sollte einem folgendes bewusst sein:

    – Sicherheit geht immer zu Lasten von irgendwas. In diesem Fall ist es nur etwas Aufwand. Und halt ein paar Nutzer mit Steinzeitsystemen, auf die man verzichten sollte.
    – Auch mit aktivierter HTTPS Übertragung sollte man sich weiterhin Gedanken machen, wie man die Sicherheit halten oder weiterhin verbessern kann
    – Falsche Herangehensweise kann die Verschlüsselung kompromittieren.
    – ungepatchte Betriebssysteme und Webserverversionen sind anfällig
    – Sicherheit erfordert somit ein ständiges „im Auge behalten“
    – man sollte immer mal wieder die SSL Verbindungen prüfen. Einfache Online-Prüftools wie von QualySSL unter gibt es. Diese stellen einem klar und übersichtlich dargestellt die aktuelle Sicherheitseinschätzung dar und bieten Anregungen für Verbesserungen. Wer nicht ein „A“-Level erhält, sollte sich dringend Gedanken machen.

 

Den Webserver abdichten – gebrochene SSL Protokollversionen und Cipher Suiten deaktivieren

Diese paar Zeilen in der Konfiguration des vHosts schmeißen gebrochene Cipher raus.

    SSLProtocol all -SSLv2 -SSLv3
    SSLCompression off
    SSLHonorCipherOrder On
    SSLCipherSuite AES256+EECDH:AES256+EDH

 

Man darf sich aber nicht in absoluter Sicherheit wähnen. Elliptische Kurven sind mitunter auch von der NIST beeinflusst. Ob dort mögliche Angriffsvektoren bestehen, wird die Zukunft zeigen…

 
Dieser Beitrag wurde unter Dokus und Tipps, Linux/ UNIX abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu Webserver: HTTPS prüfen und SSL Sicherheit erhöhen

  1. H.Lorenz sagt:

    ist ja alles ganz schön, leider laufen auf neueren Systemen, viele meiner Programme nicht mehr.

    Mit der ganzen ewigen Aufrüstung ist es zum kotzen, macht viel Arbeit, Ärger und es geht nichts besser.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert