SSL Protokoll
Produkt | |
Name | Transport Layer Security |
Kategorie | SSL |
Hersteller | mehrere |
Schweregrad |
Schwer (3/4)
|
[Bearbeiten] Allgemeines
Transport Layer Security (TLS; deutsch Transportschichtsicherheit), weitläufiger bekannt unter der Vorgängerbezeichnung Secure Sockets Layer ( SSL ), ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Seit Version 3.0 wird das SSL-Protokoll unter dem neuen Namen TLS weiterentwickelt und standardisiert, wobei Version 1.0 von TLS der Version 3.1 von SSL entspricht. In diesem Artikel wird die Abkürzung TLS für beide Bezeichnungen verwendet, sofern nicht explizit auf die alten Versionen Bezug genommen wird. Bekannte Implementierungen des Protokolls sind OpenSSL, GnuTLS, PolarSSL und cryptlib.
[Bearbeiten] Systemweite TLS-Probleme
- TLS-Problem in Wahlmaschinen: https://twitter.com/zcobb/status/442067726094192640/photo/1
- Linux-GNU-TLS-Problem: http://www.heise.de/newsticker/meldung/Sicherheitsluecke-GnuTLS-jetzt-mit-goto-fail-2133192.html
- Apple-OSX-TLS-Problem: http://www.heise.de/newsticker/meldung/Kommentar-zur-SSL-Luecke-Apple-muss-besser-werden-und-zwar-flott-2127065.html
- Apple-iOS-Apps-SSL-Problem: http://www.heise.de/newsticker/meldung/SSL-Verschluesselung-auch-in-iOS-Apps-problematisch-2138829.html
[Bearbeiten] Sicherheitsprobleme
- Dienste haben viele Standards von SSL durch Teilnahme am Spezifikationsprozeß mit Hintertüren versehen, um im Prism-Kontext auch auf derart verschlüsselte Verbindungen zugreifen zu können: http://t3n.de/news/nsa-gchq-ssl-verschlusselung-prism-492991/
[Bearbeiten] Unsichere SSL-Sorten
SSL 2.0
[Bearbeiten] Akzeptable, wenn notwendige SSL-Sorten
SSL 3.0 TLS 1.0
[Bearbeiten] Sichere SSL-Sorten
TLS 1.1 TLS 1.2
- ? sind in die Kriterien hier die NSA-Teilnahmen an jew. Spezifikationsprozessen eingegangen??
was ist hiermit: http://www.thoughtcrime.org/software/sslstrip/ ? ist das noch aktuell?
[Bearbeiten] Weitere Informationen über SSL Sicherheit
http://en.wikipedia.org/wiki/Transport_Layer_Security#Websites
[Bearbeiten] Informationen über die SIcherheit verwendeter Verschlüsselungmethoden
http://en.wikipedia.org/wiki/Transport_Layer_Security#Cipher
[Bearbeiten] https-everywhere-extensions
[Bearbeiten] Sichere TLS/SSL-Konfiguration von Webservern
Vorweg: Auf einen perfekt sicheren Webserver kann auch ein Firefox "frisch aus der Tüte" nicht mehr zugreifen, weil man erst die modernen TLS-Suiten manuell aktivieren muss. Eine SSL-Konfiguration ist derzeit immer ein Kompromiß zwischen Sicherheit und Nicht-Ausschluß von unfähigen HTTP-Clients.
- https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
- https://www.ssllabs.com/projects/best-practices/
- FIXME: SSL session caching, weil es sonst ein lastproblem gibt
- FIXME: schwarze Liste von löchrigen Browsern, um Zugriffsweichen implementieren zu können.
[Bearbeiten] SSL-Only Strict-Transport-Security HTTP-Header
Dies ist eine Art serverseitig aktiviertes HTTPS everywhere, das aber clientseitig unterstützt sein sein muss.
- https://tools.ietf.org/html/rfc6797
- http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
- https://developer.mozilla.org/en-US/docs/Security/HTTP_Strict_Transport_Security
- http://www.heise.de/netze/meldung/HTTP-Strict-Transport-Security-als-Internet-Standard-1754184.html
[Bearbeiten] Click-Jacking unterbinden: X-Frame-Options HTTP-Header
(gehört streng genommen nicht zu SSL, aber zu "Vertraulichkeit des Übertragungsweges")
[Bearbeiten] Test für den Webserver
- https://www.ssllabs.com/ssltest/index.html (listet insbesondere Clients, die in der derzeitigen Konfiguration noch zugreifen können. Es ist in vielen Fällen wichtig, zu wissen wen oder wieviel man aussperrt)
[Bearbeiten] Sichere TLS/SSL Konfiguration bei Browsern
[Bearbeiten] Unsichere Ciphersuites im Browser deaktivieren
- kubieziel.de - Using SSL securely in your browser
- FIXME: Weiß wer, wie das für Java JRE/JDK geht?
- kubieziel.de - Firefox 27 mit TLS 1.2
Zitat: Der aktuelle Firefox ist in der Version 27 erschienen. Wie angekündigt, unterstützt der Browser nun standardmäßig TLS 1.1 und 1.2. Damit werden die TLS-Einstellungen über about:config hinfällig.