Open Source im professionellen Einsatz
Linux-Magazin 08/2014
© Galina Peshkova, 123RF

© Galina Peshkova, 123RF

SSL/TLS Best Practice

Sichere Faustregeln

Hinter SSL und TLS stecken komplexe Technologien. Wer kein Krypto-Buch wälzen möchte, um zu einem sicheren HTTPS-Webserver zu kommen, findet in diesem Artikel praxistaugliche Empfehlungen in Sachen Sicherheit, Kompatibilität und Performance.

392

Die Komplexität von Transportverschlüsselung mit TLS und SSL bietet immer wieder Überraschungen. Das geht selbst dem Autor so, der diese Technologien schon seit den frühen Tagen von Netscape Navigator einsetzt. Wer denkt, er habe SSL endlich begriffen, dem tut sich bald ein neues Rätsel auf, dem er auf den Grund gehen muss.

Die meisten Admins haben aber keine Zeit für lange Recherchen. Sie möchten möglichst rasch zu einer sicheren HTTPS-Website kommen, um sich den nächsten Aufgaben zuzuwenden. Dieser Artikel gibt deshalb eindeutige Ratschläge für die Praxis, die schnell zu einer sicheren Konfiguration führen. Zum Abschluss gibt es Beispieldateien für Apache und Nginx.

1. Algorithmen und Schlüssellängen

Derzeit unterstützt TLS drei Schlüsselalgorithmen: DSA ist längst Vergangenheit, der Elliptische-Kurven-Kryptographie mit ECDSA gehört die Zukunft, doch ältere Clients unterstützen sie nicht. Damit bleibt für die Gegenwart RSA.

Bei der Schlüssellänge dürften für die meisten Zwecke 2048-Bit-RSA-Schlüssel oder 256-Bit-ECDSA-Schlüssel ausreichen. Sie bieten 112 beziehungsweise 128 Bits Verschlüsselungsstärke. Wer für viele Jahre vorsorgen möchte, wählt einen 3072 Bit langen RSA-Schlüssel, der ebenfalls 128 Bit bietet.

2. Schlüsselverwaltung

Bedeutender als die Schlüssellänge ist in der Praxis allerdings, wie der Admin mit den Schlüsseln umgeht. Vieles legt nahe, dass die erfolgreichsten Angriffe auf SSL die Verschlüsselung gar nicht knacken, sondern sie schlicht umgehen. Wer in einen Server einbrechen kann, um den privaten Schlüssel zu stehlen, oder auf anderem Wege Zugriff auf ihn erhält, braucht sich nicht die Zähne an der Kryptographie auszubeißen.

Die privaten Schlüssel müssen geheim bleiben. Auf diese wertvollen Dateien sollte nur ein möglichst kleiner Kreis von Mitarbeitern Zugriff haben, der gerade groß genug ist, um einen reibungslosen Betrieb zu gewährleisten.

Daneben sollte der Admin die Schlüssel per Passwort schützen und schon beim Erzeugen eine Passphrase eingeben. Das reduziert das Risiko, falls ein Backup des Systems in falsche Hände gerät.

Eine Kopie der Schlüssel sollte der Verantwortliche an einem sicheren Ort aufbewahren. Den Schlüssel für einen einzelnen Server zu verlieren ist nicht weiter schlimm, denn ein neuer lässt sich leicht generieren. Betreibt man aber eine eigene Certificate Authority (CA), sind deren Schlüssel nur äußerst aufwändig zu ersetzen.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Einführung

    Wer wie Charly Kühnast SSL-gesicherte Server zu beaufsichtigen hat, kann das heute vorgestellte Tool gut gebrauchen. Es untersucht, ob das komplette Sicherheitspersonal noch auf der Höhe der Zeit ist.

  • Einführung

    Charly Kühnast kann sich noch gut an die Zeit erinnern, als das Einbinden und die Funktionsprüfungen eines SSL-Zertifikats eine einfache Sache war. Jetzt hat er ein Shellskript gefunden, das trotz des Wirrwarrs an Schlüsselprotokollen und Ciphers klare Auskünfte erteilt.

  • DANE

    Wer glaubt, STARTTLS im Mailclient zu aktivieren, mache seinen Mailverkehr in jedem Fall sicherer, der irrt. Erst wer auf DANE setzt, kann sicher sein, dass ein Mailserver oder eine Firewall auf dem Transportweg nicht jede Verschlüsselung ausknipst.

  • Open SSL
  • Google: Abschied von SSLv3 und RC4 auf Raten

    Google will sich von SSLv3 und RC4 trennen, das kündigte der Security-Ingenieur Adam Langley in Googles Online-Security-Blog an. Konkrete Zeitpunkte nennt das Unternehmen nicht, dafür gibt es Tipps und Hilfe für Admins.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.