SSL Konfiguration

Rund um die Sicherheit des Systems und die Applikationen
ddm3ve
Moderator
Moderator
Posts: 1187
Joined: 2011-07-04 10:56

SSL Konfiguration

Post by ddm3ve » 2015-08-21 10:42

Hi,

wie wäre es bei dem aktuellen openssl durcheinander mit einer anleitung für eine sichere SSL Konfiguration für Dienste wie :
lighttpd, apache, dovecot etc.
Insbesonder der Blick auf aktuelle Verschlüsselungen und obsolete Verfahren wie TLS 1.0 SSLv3 oder auch schlechte Algorytmen sollten dabei einer geziehlten aufmerksamkeit erfolgen.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: SSL Konfiguration

Post by Joe User » 2015-08-21 12:44

Konfigurationen für OpenSSL, OpenSSH, Apache, Postfix, Dovecot und gegebenenfalls auch nginx, lighttpd kann ich beisteuern. Den Erklärbär müsste jemand anderes übernehmen, darin bin ich nicht ganz so gut ;)
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: SSL Konfiguration

Post by daemotron » 2015-08-21 18:11

Ein bisschen erklärbären kann ich beisteuern, hab in letzter Zeit seeehr viel OpenSSL Doku (und Quellcode) gelesen...
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: SSL Konfiguration

Post by daemotron » 2015-08-24 13:01

Hab im Wiki mal was angefangen: http://www.rootwiki.org/wiki/Security/OpenSSL
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: SSL Konfiguration

Post by daemotron » 2015-08-29 17:02

Hab noch mal ein bissl was weitergetextet. Könnte jemand von Euch die Konfigurationen für Apache, Nginx und Postfix beisteuern? Exim bereite ich auf, sobald ich mit den Tests durch bin...
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: SSL Konfiguration

Post by Joe User » 2015-08-29 19:29

Jupp, Apache, Dovecot, Postfix kommen im Laufe des Wochenendes, spätestens nächste Woche.
Ich werde allerdings nur TLSv1.0 und TLSv1.2 pur berücksichtigen, kein OCSP, DNSSEC, DANE oder andere Erweiterungen.
Kleinere must-have/nice-to-have Kniffe ala NO_COMPRESSION und stark optimierte Cipherlisten sind aber trotzdem dabei.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: SSL Konfiguration

Post by Joe User » 2015-08-30 13:49

So, die Basic Konfigurationen für Postfix, Dovecot und Apache sind eingepflegt, allerdings ist mein Text dazu sehr dürftig.

Einen kurzen Hinweis auf RFC7568 habe ich ebenfalls eingebaut.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: SSL Konfiguration

Post by daemotron » 2015-08-30 14:04

Moin,

da war ja jemand fleißig :wink:

Eine Sache ist mir bei meinen Recherchen für Exim über den Weg gelaufen: Die NSS Blibliothek (also der Unterbau von Mozilla für Firefox und Thunderbird) hat ein paar hart codierte Limits:

  • RSA Schlüssel dürfen maximal 8192 Bits lang sein (ok, wahrscheinlich kein Problem)
  • DH Parameter dürfen maximal 2236 Bits lang sein (das ist bei einigen Konfigurationen ein Problem und führt dann dazu, dass kein DHE Verfahren zum Schlüsselaustausch verwendet wird)
Dazu kommt, dass EC Algorithmen zwar implementiert, im Standard Makefile aber nicht aktiviert sind (insbesondere secp384r1, secp521r1 und prime256v1). Im FreeBSD Port sind ECDHs aktiviert; allerdings wird das nicht bei jeder Distribution der Fall sein (bei Debian und Ubuntu etwa konnte ich mangels vorhandener Installation nicht ad hoc feststellen, wogegen Iceweasel und Icedove bzw. Firefox und Thunderbird eigentlich gelinkt sind, da die NSS Bibliothek hier Bestandteil des jeweiligen Pakets ist).

Testen lässt sich das (zumindest für den Browser) hier: https://cc.dcsec.uni-hannover.de/
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: SSL Konfiguration

Post by Joe User » 2015-08-30 14:09

Das mit den DH Params wusste ich noch nicht, danke. Werde ich beim nächsten Update meiner FreeBSD-HowTos berücksichtigen.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.