Einen Überblick über das Administrationstool KeyHelp der Keyweb AG und dessen Download gibt es auf https://www.keyhelp.de

Dieses Forum soll es interessierten Benutzern ermöglichen, sich über KeyHelp auszutauschen und Hilfe bei Problemen zu finden.

[Proposed Update] - TLS Cipher für KeyHelp 20.1

Fragen und Probleme mit der Installation
Antworten
Benutzeravatar
Martin
Community Moderator
Beiträge: 963
Registriert: Mi 20. Jan 2016, 00:43

[Proposed Update] - TLS Cipher für KeyHelp 20.1

Beitrag von Martin »

Hallo,

für KeyHelp 20.1 planen wir, wie auch schon im Feature Wunsch Forum gewünscht, die TLS Cipher für KeyHelp anzupassen. Im Einzelnen trifft dies die Dienste Apache, Proftpd, Postfix und Dovecot. Basis für die Anpassung ist die Mozilla Empfehlung zur Intermediate Konfiguration (https://ssl-config.mozilla.org/)

Nutzer die dies bereits einmal auf Ihren Systemen testen möchten erhalten hier nun die vorgeschlagenen Änderungen. Feedback ist natürlich willkommen.

Die Konfigurationsschnipsel sind hierbei die für TLS relevanten Ausschnitte, Abschnitte der Konfiguration davor oder dahinter bleiben unverändert. Die Konfiguration unter "Alter Konfiguation" kann entsprechend aus der Datei entfernt und mit der unter "Neue Konfiguration" ersetzt werden.

Apache - Webserver
Konfiguationsdatei: /etc/apache2/mods-enabled/ssl.conf

Alte Konfiguration:

Code: Alles auswählen

    # SSL Cipher Suite:
    SSLCipherSuite          ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA::AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:!ECDHE-RSA-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!DES-CBC3-SHA:!DSS
    SSLHonorCipherOrder     on

    # The protocols to enable
    SSLProtocol             all -SSLv3 -SSLv2

    # OCSP Stapling
    #SSLUseStapling          on
    #SSLStaplingResponderTimeout 5
    #SSLStaplingReturnResponderErrors off
    #SSLStaplingCache        shmcb:${APACHE_RUN_DIR}/ssl_ocsp(512000)
Neue Konfiguration:

Code: Alles auswählen

    # SSL Cipher Suite:
    SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
    SSLCipherSuite          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
    SSLHonorCipherOrder     off
    SSLCompression          off
    SSLSessionTickets       off

    # OCSP Stapling
    SSLUseStapling			on
    SSLStaplingResponderTimeout		5
    SSLStaplingReturnResponderErrors	off
    SSLStaplingCache			shmcb:${APACHE_RUN_DIR}/ssl_ocsp(512000)
Proftpd
Konfigurationsdatei: /etc/proftpd/tls.conf

Alte Konfiguration:

Code: Alles auswählen

    TLSProtocol                 TLSv1
Neue Konfiguration:

Code: Alles auswählen

    TLSProtocol                 TLSv1.2
    TLSCipherSuite		ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
Postfix - SMTP
Konfigurationsdatei: /etc/postfix/main.cf

Alte Konfiguration:

Code: Alles auswählen

## TLS parameters
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/keyhelp/mail.pem
smtpd_tls_key_file = /etc/ssl/keyhelp/mail.pem
smtpd_tls_CAfile = /etc/ssl/keyhelp/mail-ca.crt
smtp_tls_CApath = /etc/ssl/certs
smtpd_tls_CApath = /etc/ssl/certs
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_protocols = !SSLv2 !SSLv3
smtpd_tls_protocols = !SSLv2 !SSLv3
smtp_tls_security_level = may
smtpd_tls_security_level = may

## TLS cypher for PFS
smtp_tls_mandatory_ciphers = high
smtpd_tls_mandatory_ciphers = high
## medium for now, otherwise breakes with older SMTP
smtp_tls_ciphers = medium
smtpd_tls_ciphers = medium
smtpd_tls_dh1024_param_file = /etc/postfix/dh2048.pem
smtpd_tls_dh512_param_file = /etc/postfix/dh512.pem
Neue Konfiguraion:

Code: Alles auswählen

# TLS parameters
smtpd_use_tls = yes
smtpd_tls_auth_only = yes

smtpd_tls_cert_file = /etc/ssl/keyhelp/mail.pem
smtpd_tls_key_file = /etc/ssl/keyhelp/mail.pem
smtpd_tls_CAfile = /etc/ssl/keyhelp/mail-ca.crt
smtp_tls_CApath = /etc/ssl/certs
smtpd_tls_CApath = /etc/ssl/certs

smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_session_cache_timeout = 3600s
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_protocols = !SSLv2 !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1

smtp_tls_security_level = may
smtpd_tls_security_level = may

## TLS Cypher für PFS
smtpd_tls_mandatory_ciphers = high
smtp_tls_mandatory_ciphers = high
## medium for now, otherwise breakes with older SMTP
smtpd_tls_ciphers = medium
smtp_tls_ciphers = medium

smtpd_tls_dh512_param_file = /etc/postfix/dh512.pem
smtpd_tls_dh1024_param_file = /etc/postfix/dh2048.pem

smtpd_tls_exclude_ciphers = RC4, 3DES, aNULL
smtp_tls_exclude_ciphers = RC4, 3DES, aNULL

smtpd_tls_eecdh_grade = ultra
tls_eecdh_strong_curve = prime256v1
tls_eecdh_ultra_curve = secp384r1 

tls_medium_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
tls_preempt_cipherlist = no

## TLS Logging im Maillog
smtpd_tls_received_header = yes
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1
Dovecot - IMAP/POP3
Konfigurationsdatei: /etc/dovecot/dovecot.conf

Alte Konfiguration:

Code: Alles auswählen

## ssl settings
ssl = required
ssl_cert = </etc/ssl/keyhelp/mail.pem
ssl_key = </etc/ssl/keyhelp/mail.pem
ssl_ca = </etc/ssl/keyhelp/mail-ca.crt
ssl_protocols = !SSLv3
Neue Konfiguration:

Code: Alles auswählen

## ssl settings
ssl = required
ssl_cert = </etc/ssl/keyhelp/mail.pem
ssl_key = </etc/ssl/keyhelp/mail.pem
ssl_ca = </etc/ssl/keyhelp/mail-ca.crt
ssl_dh_parameters_length = 2048
ssl_protocols = TLSv1.2
ssl_cipher_list = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
ssl_prefer_server_ciphers = no
Viele Grüße,
Martin
select name from me;
Beiträge: 509
Registriert: Di 9. Feb 2016, 16:44

Re: [Proposed Update] - TLS Cipher für KeyHelp 20.1

Beitrag von select name from me; »

👍
Viele Grüße, Christian
derFu
Beiträge: 99
Registriert: Sa 28. Apr 2018, 18:46

Re: [Proposed Update] - TLS Cipher für KeyHelp 20.1

Beitrag von derFu »

Hi!
Martin hat geschrieben:
Mi 4. Mär 2020, 13:34
Hallo,

für KeyHelp 20.1 planen wir, wie auch schon im Feature Wunsch Forum gewünscht, die TLS Cipher für KeyHelp anzupassen. Im Einzelnen trifft dies die Dienste Apache, Proftpd, Postfix und Dovecot. Basis für die Anpassung ist die Mozilla Empfehlung zur Intermediate Konfiguration (https://ssl-config.mozilla.org/)

Nutzer die dies bereits einmal auf Ihren Systemen testen möchten erhalten hier nun die vorgeschlagenen Änderungen. Feedback ist natürlich willkommen.
[ ... ]
Dovecot, Apache und Postfix habe ich mal unter Debian Buster eingebaut. Sehr schön, bisher keinerlei Probleme.

Dovecot informiert mich hier zwar über veraltete Angaben
config: Warning: Obsolete setting in /etc/dovecot/dovecot.conf:23: ssl_dh_parameters_length is no longer needed
config: Warning: Obsolete setting in /etc/dovecot/dovecot.conf:24: ssl_protocols has been replaced by ssl_min_protocol
, aber es soll ja nicht nur mit Buster funktionieren.
Jolinar
Community Moderator
Beiträge: 1691
Registriert: Sa 30. Jan 2016, 07:11
Wohnort: Weimar (Thüringen)
Kontaktdaten:

Re: [Proposed Update] - TLS Cipher für KeyHelp 20.1

Beitrag von Jolinar »

Martin hat geschrieben:
Mi 4. Mär 2020, 13:34
für KeyHelp 20.1 planen wir, wie auch schon im Feature Wunsch Forum gewünscht, die TLS Cipher für KeyHelp anzupassen
Bevor nachher der Aufschrei groß ist, daß die neue TLS-Config zu restriktiv wäre (weil z.B. einige Mailserver noch kein TLS 1.2 verstehen) oder vielleicht für manche nicht restriktiv genug sei (weil man nur noch TLS 1.3 verwenden möchte), möchte ich noch den Vorschlag in den Raum werfen, daß man die Festlegung der zugelassenen TLS-Protokolle und Cipher in den Konfigurationsbereich des Panels integrieren könnte (Protokolle als Checkboxen und Cipher als Textfeld).
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
___
Benutzeravatar
Tobi
Community Moderator
Beiträge: 1365
Registriert: Do 5. Jan 2017, 13:24

Re: [Proposed Update] - TLS Cipher für KeyHelp 20.1

Beitrag von Tobi »

Jolinar hat geschrieben:
Do 5. Mär 2020, 18:32
Martin hat geschrieben:
Mi 4. Mär 2020, 13:34
für KeyHelp 20.1 planen wir, wie auch schon im Feature Wunsch Forum gewünscht, die TLS Cipher für KeyHelp anzupassen
Bevor nachher der Aufschrei groß ist, daß die neue TLS-Config zu restriktiv wäre (weil z.B. einige Mailserver noch kein TLS 1.2 verstehen) oder vielleicht für manche nicht restriktiv genug sei (weil man nur noch TLS 1.3 verwenden möchte), möchte ich noch den Vorschlag in den Raum werfen, daß man die Festlegung der zugelassenen TLS-Protokolle und Cipher in den Konfigurationsbereich des Panels integrieren könnte (Protokolle als Checkboxen und Cipher als Textfeld).
Am besten noch ergänzt um die Option separate Zertifikate für SMTP und IMAP festzulegen.
Dann wären Postein- und Ausgang endlich unter einem anderen FQDN als das Panel erreichbar. 😁
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
nikko
Beiträge: 870
Registriert: Fr 15. Apr 2016, 16:11

Re: [Proposed Update] - TLS Cipher für KeyHelp 20.1

Beitrag von nikko »

Tobi hat geschrieben:
Do 5. Mär 2020, 19:16
Jolinar hat geschrieben:
Do 5. Mär 2020, 18:32
Martin hat geschrieben:
Mi 4. Mär 2020, 13:34
für KeyHelp 20.1 planen wir, wie auch schon im Feature Wunsch Forum gewünscht, die TLS Cipher für KeyHelp anzupassen
Bevor nachher der Aufschrei groß ist, daß die neue TLS-Config zu restriktiv wäre (weil z.B. einige Mailserver noch kein TLS 1.2 verstehen) oder vielleicht für manche nicht restriktiv genug sei (weil man nur noch TLS 1.3 verwenden möchte), möchte ich noch den Vorschlag in den Raum werfen, daß man die Festlegung der zugelassenen TLS-Protokolle und Cipher in den Konfigurationsbereich des Panels integrieren könnte (Protokolle als Checkboxen und Cipher als Textfeld).
Am besten noch ergänzt um die Option separate Zertifikate für SMTP und IMAP festzulegen.
Dann wären Postein- und Ausgang endlich unter einem anderen FQDN als das Panel erreichbar. 😁
Und ab morgen ist die Wünsch-Dir-Was-Ecke für den Rest des Jahres geschlossen...weil Alex bis dahin mit der Programmierung ausgebucht ist... :lol: :lol: :lol: :lol:
The software said: Requires Win Vista®, 7®, 8® or better. And so I installed Linux.
Jolinar
Community Moderator
Beiträge: 1691
Registriert: Sa 30. Jan 2016, 07:11
Wohnort: Weimar (Thüringen)
Kontaktdaten:

Re: [Proposed Update] - TLS Cipher für KeyHelp 20.1

Beitrag von Jolinar »

nikko hat geschrieben:
Do 5. Mär 2020, 22:20
Und ab morgen ist die Wünsch-Dir-Was-Ecke für den Rest des Jahres geschlossen...weil Alex bis dahin mit der Programmierung ausgebucht ist... :lol: :lol: :lol: :lol:
Du hast in deiner Aussage einen Denkfehler...Wir müssen uns noch viel, viel mehr Features wünschen, um Alex zu entlasten...
Denn bei noch mehr Programmierarbeit muß Alex' Arbeitgeber weitere Entwickler einstellen, was ihn dann tatsächlich entlasten würde :roll: :D
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
___
select name from me;
Beiträge: 509
Registriert: Di 9. Feb 2016, 16:44

Re: [Proposed Update] - TLS Cipher für KeyHelp 20.1

Beitrag von select name from me; »

Hat das jemand von euch schon automatisiert? 8-)

Ich würde das auf allen Servern testen, wenn ich das in einem Rutsch verteilen und zurücknehmen kann.
Viele Grüße, Christian
select name from me;
Beiträge: 509
Registriert: Di 9. Feb 2016, 16:44

Re: [Proposed Update] - TLS Cipher für KeyHelp 20.1

Beitrag von select name from me; »

Martin hat geschrieben:
Mi 4. Mär 2020, 13:34
… für KeyHelp 20.1 planen wir, wie auch schon im Feature Wunsch Forum gewünscht, die TLS Cipher für KeyHelp anzupassen …
Gibt es dafür schon einen Zeitplan?
Viele Grüße, Christian
Benutzeravatar
Alexander
Keyweb AG
Beiträge: 1464
Registriert: Mi 20. Jan 2016, 02:23

Re: [Proposed Update] - TLS Cipher für KeyHelp 20.1

Beitrag von Alexander »

Nach derzeitigem Stand: Nächste Woche brauche ich sicher noch komplett, danach fang ich mit den finalen Rollout-Tests an.
Demnach kann der Release Anfang Mai erfolgen.

(Nagelt mich nicht drauf fest ;))
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
select name from me;
Beiträge: 509
Registriert: Di 9. Feb 2016, 16:44

Re: [Proposed Update] - TLS Cipher für KeyHelp 20.1

Beitrag von select name from me; »

Alexander hat geschrieben:
Fr 24. Apr 2020, 08:20
Nach derzeitigem Stand: Nächste Woche brauche ich sicher noch komplett, danach fang ich mit den finalen Rollout-Tests an.
Demnach kann der Release Anfang Mai erfolgen.

(Nagelt mich nicht drauf fest ;))
Danke für die Info. Das hilft sehr bei der Planung.
Viele Grüße, Christian
Benutzeravatar
WebCF
Beiträge: 55
Registriert: Fr 29. Jun 2018, 21:05

Re: [Proposed Update] - TLS Cipher für KeyHelp 20.1

Beitrag von WebCF »

Was passiert, wenn ich die Postfix-Config z.B. schon händisch angepasst habe, wird das trotzdem ersetzt? Wie nimmt KeyHelp die Ersetzung vor?

Gruß,
Benutzeravatar
Alexander
Keyweb AG
Beiträge: 1464
Registriert: Mi 20. Jan 2016, 02:23

Re: [Proposed Update] - TLS Cipher für KeyHelp 20.1

Beitrag von Alexander »

Für postfix werden die Einstellungen mittels "postconf" aktualisiert. Das heißt die main.cf wird nicht überschreiben, nur die oben ersichtlichen Werte werden wie oben ersichtlich angepasst (bis auf die Konfigurationen fürs Logging).

Solltest du eigene Konfigurationen (die oben nicht aufgeführt sind) vorgenommen haben, so bleiben diese bestehen. Wenn du dir unsicher sein solltest, schadet es sicher nicht, wenn du von der main.cf noch ein Backup anlegst und nach dem Update vergleichst.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Antworten