RootForum Community

Hi,

wie wäre es bei dem aktuellen openssl durcheinander mit einer anleitung für eine sichere SSL Konfiguration für Dienste wie :
lighttpd, apache, dovecot etc.
Insbesonder der Blick auf aktuelle Verschlüsselungen und obsolete Verfahren wie TLS 1.0 SSLv3 oder auch schlechte Algorytmen sollten dabei einer geziehlten aufmerksamkeit erfolgen.

Konfigurationen für OpenSSL, OpenSSH, Apache, Postfix, Dovecot und gegebenenfalls auch nginx, lighttpd kann ich beisteuern. Den Erklärbär müsste jemand anderes übernehmen, darin bin ich nicht ganz so gut ;)

Ein bisschen erklärbären kann ich beisteuern, hab in letzter Zeit seeehr viel OpenSSL Doku (und Quellcode) gelesen...

Hab im Wiki mal was angefangen: http://www.rootwiki.org/wiki/Security/OpenSSL

Hab noch mal ein bissl was weitergetextet. Könnte jemand von Euch die Konfigurationen für Apache, Nginx und Postfix beisteuern? Exim bereite ich auf, sobald ich mit den Tests durch bin...

Jupp, Apache, Dovecot, Postfix kommen im Laufe des Wochenendes, spätestens nächste Woche.
Ich werde allerdings nur TLSv1.0 und TLSv1.2 pur berücksichtigen, kein OCSP, DNSSEC, DANE oder andere Erweiterungen.
Kleinere must-have/nice-to-have Kniffe ala NO_COMPRESSION und stark optimierte Cipherlisten sind aber trotzdem dabei.

So, die Basic Konfigurationen für Postfix, Dovecot und Apache sind eingepflegt, allerdings ist mein Text dazu sehr dürftig.

Einen kurzen Hinweis auf RFC7568 habe ich ebenfalls eingebaut.

Moin,

da war ja jemand fleißig

Eine Sache ist mir bei meinen Recherchen für Exim über den Weg gelaufen: Die NSS Blibliothek (also der Unterbau von Mozilla für Firefox und Thunderbird) hat ein paar hart codierte Limits:

• RSA Schlüssel dürfen maximal 8192 Bits lang sein (ok, wahrscheinlich kein Problem)
• DH Parameter dürfen maximal 2236 Bits lang sein (das ist bei einigen Konfigurationen ein Problem und führt dann dazu, dass kein DHE Verfahren zum Schlüsselaustausch verwendet wird)

Dazu kommt, dass EC Algorithmen zwar implementiert, im Standard Makefile aber nicht aktiviert sind (insbesondere secp384r1, secp521r1 und prime256v1). Im FreeBSD Port sind ECDHs aktiviert; allerdings wird das nicht bei jeder Distribution der Fall sein (bei Debian und Ubuntu etwa konnte ich mangels vorhandener Installation nicht ad hoc feststellen, wogegen Iceweasel und Icedove bzw. Firefox und Thunderbird eigentlich gelinkt sind, da die NSS Bibliothek hier Bestandteil des jeweiligen Pakets ist).

Testen lässt sich das (zumindest für den Browser) hier: https://cc.dcsec.uni-hannover.de/

Das mit den DH Params wusste ich noch nicht, danke. Werde ich beim nächsten Update meiner FreeBSD-HowTos berücksichtigen.