Wer in den letzten Tage die IT Presse verfolgt hat, dem ist Logjam als ein weiter kritischer SSL/TLS Angriff nicht entgangen. Unter https://weakdh.org/sysadmin.html ist freundlicherweise ausführlich beschrieben, wie man Apache mit mod_ssl, nginx, MS IIS, Lighhttpd, Apache Tomcat, Postfix, Sendmail, Dovecot sowie HAProxy gegen diesen Angriff absichern kann. Leider führt…
Browsing: SSL
Wie heute auf Golem.de mitgeteilt wurde, hat ein Team des französischen Forschungsinstituts im Rahmen des Projektes Smack Inira bei der Untersuchung von TLS Implementierungen zwei neue Sicherheitslücken gefunden. Verwundbare Systeme wie z.B. Apple-Systeme akzeptieren einen schwachen temporären 512-Bit RSA Schlüssel. Theoretisch ist das Risiko für so einen Angriff gering, da…
In letzter Zeit hat sich im Bereich der SSL Sicherheit viel getan. Es sind immer wieder neue Sicherheitslücken aufgetaucht, wie z.B: die Poodle Lücke. Debian gilt seit je her als stables, aber leider auch immer etwas angestaubtes Betriebssystem. Letzteres von beidem bekommt man gerade in letzter Zeit immer wieder zu…
Normalerweise versuche ich neutral zu bleiben, aber ich bin gerade auf die Seite https://de.ssl-tools.net/bullshit-germany gestoßen, welche genau das unterstreicht, was mir damals bei der Initiative "E-Mail Made in Germany" so gegen den Strich gegangen ist. Leider hat die Presse diese offensichtliche Veräppelung der Menschen bei diesem Thema irgendwie kommentarlos passieren lassen.…
Die IETF (Internet Engineering Task Force) steht kurz vor der Verabschiedung von HTTP Public Key Pinning als weiteren Standard. HPKP ist eine Technik, die Webseitenbetreibern die Möglichkeit bieten, durch das ausliefern eines speziellen HTTP Headers mit das SSL Zertifikat an die Webseite zu "pinnnen". Ein Client welcher einmal diese Webseite…
Was ist PFS Durch den Einsatz von PFS lässt sich eine höhere Sicherheit bei HTTPS-Übertragungengewährleisten, als ohne. Da stellt sich natürlich die Frage, warum HTTPS vorher unsicher war. Dies versteht man am besten an einem Beispiel, wie ein HTTPS-Verbindungsaufbau statt findet. Client: Ruft https://blog.cscholz.io auf. Server: Übermittelt dem Client einen…
Wer eine Webseite betreibt, möchte i.d.R. auch, dass die entsprechenden Inhalte auch über die Google Suche gefunden werden können. Damit URLs im Google Suchindex auftauchen, gibt es zwei Möglichkeiten. Entweder über die Verlinkung der eigenen Webseite über fremde Webseiten, oder über eine Sitemap.xml-Datei, welche in die URLs enthält, die durch…
Das Unternehmen Qualys, Inc., spezialisiert auf IT Sicherheit, bietet über die Webseite ssllabs.com ein Tool an, mit dessen Hilfe HTTPS-Seiten auf ihre Sicherheit hin untersucht werden können. Während der Analyse wird überprüft, welche Protokoll-Versionen über https angeboten werden und wie sicher die angebotenen Authentifizierungsmechanismen sind. Es wird auch auf existierende Schwachstellen hingewiesen.…
Um Wordpress sauber über HTTPs verwenden zu könne sind einige Anpassungen notwendig gewesen. Links bzw. eingebundene Elemente in den Webseiten, z.B. auf Grafiken, müssen durch https ersetzt werden, da sonst der Browser beim Aufruf der Webseite daraufhin weißt, dass Elemente vorhanden sind, die nicht per HTTPS angebunden sind. Die Startadresse sollte abhängig, ob…
Selbst signierte Zertifikate werden meist dann bevorzugt, wenn man das Geld für ein gekauftes Zertifikat sparen möchte. Es bringt jedoch den Nachteil, dass solche Zertifikate nicht auf ihre Echtheit hin überprüft werden, da es keine Zertifikatskette gibt, der vertraut werden kann. Fetchmail stört sich z.B. auch an selbst signierten Zertifikaten, jedoch kann man…