Suche

Freiheit99 15.10.2014 - 14:52

Aktivierung des PFS auf unserer Protonetbox

Wie können wir auf dem Server die PFS aktiveren? Lt. Mitteilung unseres Netzwerkspartners ist dies für geschäftliche Verwendung von sensiblen Daten sogar zwingend vorgeschrieben.

http://de.wikipedia.org/wiki/Perfect_Forward_Secrecy

5 Antworten

Martin (Protonet Support) 06.01.2015 - 10:53

Hallo Freiheit99,

die SSL Verschlüsselung der *.protonet.info Domäne wird zentral durch unseren Reverse-Proxy bestimmt, die dort von uns eingestellten Verschlüsselungsverfahren bestimmen den Sicherheitsgrad der Verschlüsselung. Kundenseitig ist hier kein Eingriff möglich. In der letzten Zeit wurden Fehler in verschiedenen verschiedene TSL/SSL Verschlüsselungsverfahren bekannt; Beast, Crime und Poodle. Dadurch ist die unschöne Situation entstanden, das man mit RC4 Perfect Forward Secrecy machen kann, aber RC4 selbst anfällig ist. Wir haben uns entschieden TLS_ECDHE_RSA_WITH_RC4_128_SHA vorerst als Cypher Suite konfiguriert zu lassen. Diese Suite wird als ‚letzte Möglichkeit‘ offeriert, wenn alle anderen Suiten nicht funktionieren. Dies ist zum Beispiel beim IE8 unter Windows XP noch der Fall. Wir werden das Thema TLS und PFS kontinuierlich beobachten und ggf. weitere Cypher Suites anbieten bzw. unsichere abschalten sobald diese durch andere ersetzt werden können.

Will man die TLS Verschlüsselung selbst beeinflussen, braucht man eine eigene Domäne mit SSL Zertifikat und eine Lösung wie man den Protonet Server damit verbindet (z.B. DynDNS).

Viele Grüße, Martin

micha 06.01.2015 - 11:56

Vielen Dank Martin! Demnach nutzen nun bis auf Internet Explorer 8 (!) alle Browser PFS.

Du kannst das selbst testen, indem Du unter https://www.ssllabs.com/ssltest/ Deine Serveradresse einträgst, den Test durchlaufen lässt und dann die "Handshake Simulation" Ergebnisse anschaust. Alle Browser, die PFS nutzen, haben ein kleines "FS" als vorletzen Wert.

arrado 15.10.2014 - 15:02

Guter Punkt,

laut https://www.ssllabs.com werden aber einige Browser mit PFS unterstützt. Nur der IE nicht unter Windows 7. Es kommen aber noch ein paar andere Meldungen, die vielleicht mal ein Blick wert sind:

  • The server supports only older protocols, but not the current best TLS 1.2. Grade capped to B.
  • OpenSSL CCS vuln. (CVE-2014-0224) Inconclusive (requires investigation) (more info)
Freiheit99 15.10.2014 - 15:31

Ich kann mit der Antwort leider nichts anfangen. Lässt sich das im direkten support lösen? Wie bekommen wir die ofenen Punkte in Ordnung?

Edit Protonet Support: Persönliche Daten entfernt

Christopher (Protonet Support) 17.10.2014 - 16:31

Hallo Freiheit99,

wir führen in den nächsten Wochen mehrere Änderungen an dem System durch über das die Boxen im Internet verfügbar sind. Teil davon ist es auch die Verschlüsselung (unter anderem auch PFS) zu verbessern und auf den neusten Stand zu bringen.

Ich kann Ihnen noch keinen genauen Termin nennen und muss Sie deswegen um noch etwas Geduld bitten.

Das jetzige Verschlüsselungs-Verfahren ist nicht unsicher. Ich empfehle zum Beispiel einen Blick in den von meinem Vorredner erwähnten SSL-Test: https://www.ssllabs.com/ssltest/analyze.html?d=betademo.protonet.info

Viele Grüße, Christopher Blum