Tag Archives TLS

Je weniger Informationen einem potentiellen Angreifer zu Verfügung stehen desto besser. Wenn man möglichst wenige Informationen preis gibt, verringert man auch die Angriffsfläche.

Die Webseite ssllabs.com ist quasi schon ein Standard für die Überprüfung von TLS Einstellungen eines Webservers. Um die Security Header einer Webseite prüfen zu können, empfiehlt sich das Online-Tool securityheaders.io. Wer ssllabs.com bereits kennt wird sich auf securityheaders.io schnell zurecht finden.

 

screen_securityheaders.io

 

So sieht das Ergebnis für meine Owncloud Installation aus. Nur weil eine Webseite kein A+ erhält, heißt es noch lange nicht das sie unsicher ist. Der Test gibt aber einen Hinweis darauf, wie man die Sicherheit noch weiter erhöhen kann.

Wir hatten uns schon fast an die immer wieder auftauchenden Hiopsbotschaften bezüglich der Angreifbarkeit von SSL verschlüsselten Verbindungen gewöhnt. Heute ist ein neues Problem der SSL Verschlüsselung an die Öffentlichkeit geraten. Im Fokus stehen hierbei zu kurze Diffie-Hellman Schlüssel. Leider bildet Diffie-Hellman die Grundlage für die Verschlüsselung von vielen Diensten wie SSL/TLS, IPSec, SSH und so weiter.

Die Downgrade-Attacke

Die Sicherheitslücke tritt immer dann auf wenn der zugreifende Client sowie auch der Server die DHE_Export Funktion unterstützen. Sollte dies der Fall sein, so kann die Verwendung eines 512 Bit Schlüssels durch einen dritten (Angreifer) erzwungen werden. Dieser 512 Bit kurze Schlüssel ist dann mit einem vergleichbar geringen Rechenaufwand geknackt werden.

Welche Gegenmaßnahmen gibt es?

In erster Linie sollte man die DHE_Export Funktion bei dem betroffenen Server deaktivieren. Als zweiten Schritt sollte man dem Server die Diffie-Hellman-Parameter vorgeben.

Kann ich irgendwo prüfen ob mein Client oder Server von Logjam betroffen ist?

Ja, das kannst Du überprüfen. Deinen Browser kannst Du hier überprüfen: https://weakdh.org. Deinen Server kannst Du hier überprüfen (lassen): https://weakdh.org/sysadmin.html

Ich habe für alle von mir betriebenen Dienste, welche eine Verschlüsselung nutzen, vor knapp einem Jahr eine Verschlüsselung von mindestens 2048 Bit vorgeschrieben. Das hat mich zumindest bei dem Logjam Problem gerettet. Hin und wieder zahlt es sich also aus auch ein wenig paranoid zu sein 🙂
Heinrich
Close