Page 1 of 1
Anpassung SSL Protokoll und Cipher Suites
Posted: Sun 2. Dec 2018, 20:52
by Blackmoon
Guten Abend,
wir haben einige Kunden welche etwas höhere Sicherheitsanforderungen haben. Diese werden bereits von uns auf dedizierte Maschinen untergebracht. Standardmäßig ist z.B. unter Apache die Protokolle TLS 1.0, 1.1 und 1.2 aktiviert so wie relativ Schwache Cipher Suites.
Daher wünschen wir uns eine Checkbox o.ä., um TLS 1.0 und TLS 1.1 zu deaktivieren und starke Cipher Suites zu aktivieren.
Das Selbe gilt natürlich auch für die anderen Dienste Postfix, ProFTPd, etc..
Referenz:
https://cipherli.st/
Gruß,
Dani
Re: Anpassung SSL Protokoll und Cipher Suites
Posted: Sat 20. Apr 2019, 21:12
by Blackmoon
Guten Abend.
Das Thema ist bei uns nach wie präsent. Letzte Woche wieder ein Projekt auf den Tisch bekommen, welches in den Anforderungen strenge Vorgaben bzw Protokoll und Cipher Suites hat.
Ich habe bereits über "Zusätzliche Apache-Anweisungen" versucht. Aber leider erfolglos.
Ich könnte mir eine Art Checkbox vorstellen. AKtiv = Strenge Einstellungen, Inaktiv = Standard (Wie bisher).
/Dani
Re: Anpassung SSL Protokoll und Cipher Suites
Posted: Sat 20. Apr 2019, 23:00
by Tobi
Blackmoon wrote: ↑Sat 20. Apr 2019, 21:12
Ich habe bereits über "Zusätzliche Apache-Anweisungen" versucht. Aber leider erfolglos.
Und was genau hast du da versucht?
Probiers mal hiermit:
Code: Select all
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCompression off
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
Re: Anpassung SSL Protokoll und Cipher Suites
Posted: Sat 20. Apr 2019, 23:24
by Jolinar
Tobi wrote: ↑Sat 20. Apr 2019, 23:00
Probiers mal hiermit:
Code: Select all
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCompression off
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
Wenn er es richtig strong haben will, dann müßte er noch TLS1.0 und TLS1.1 negieren sowie die ganzen AES128- und einige AES256-Ciphern entsorgen.
Ob derart strenge Verschlüsselung allerdings im Sinne eines Panels ist, daß in möglichst vielen Szenarien OOTB funktionieren soll, da hab ich so meine Zweifel. Denn unterm Strich sperrt man mit derart restriktiven Security-Rules mehr User, Clients, whatever aus als daß es für den durchschnittlichen Webadmin sinnvoll wäre.
Mögliche Zu-/Abschaltbarkeit einzelner SSLProtocols bzw. Ciphern über die Panelkonfiguration ist sicher ein nettes "nice to have". Aber wenn überhaupt, dann bitte nicht mit 2 Checkboxen (strong/not strong), sondern sauber implementiert mit Protokoll- und Cipherauswahl.
Und bis das in der Prioritätenliste der Dev's hoch genug gerutscht ist, greift man halt manuell in die entsprechenden Configs ein...Keyhelp sollte damit jedenfalls keine Probleme haben.
BTW:
Die im Startpost verlinkte Seite erhält (entgegen den eigenen Angaben auf der Seite)
nur ein A bei SSL Labs und unterstützt auch noch TLS1.0 und TLS1.1 sowie viele schwache Cipher
Re: Anpassung SSL Protokoll und Cipher Suites
Posted: Sat 20. Apr 2019, 23:55
by Blackmoon
Guten Abend.
Tobi wrote: ↑Sat 20. Apr 2019, 23:00
Und was genau hast du da versucht?
So habe ich es versucht:
Code: Select all
SSLCipherSuite HIGH:!aNULL:!MD5:!3DES:!CAMELLIA:!AES128:!AES256-SHA:!AES256-SHA256:!AES256-GCM-SHA384:!AES256-CCM8:!AES256-CCM
SSLHonorCipherOrder on
SSLProtocol -ALL +TLSv1.2
Sicherheitshalber sogar den Webserver mit
service Apache2 restart neugestartet.
Jolinar wrote: ↑Sat 20. Apr 2019, 23:24
Ob derart strenge Verschlüsselung allerdings im Sinne eines Panels ist, daß in möglichst vielen Szenarien OOTB funktionieren soll, da hab ich so meine Zweifel. Denn unterm Strich sperrt man mit derart restriktiven Security-Rules mehr User, Clients, whatever aus als daß es für den durchschnittlichen Webadmin sinnvoll wäre.
Wir haben Kunden, die in Berühgung mit PCI DSS 3.x kommen. Da hast du fast keinen Spielraum bei der Konfiguration. Wir selbst haben ebenfalls ein paar Internetseiten, welche nach bestimmten Vorgaben des BSI konfiguriert sein müssen. Zumal TLS 1.0 noch dieses Jahr von verschiedenen Browser als unsicher eingestuft wird.
Jolinar wrote: ↑Sat 20. Apr 2019, 23:24
Und bis das in der Prioritätenliste der Dev's hoch genug gerutscht ist, greift man halt manuell in die entsprechenden Configs ein...Keyhelp sollte damit jedenfalls keine Probleme haben.
Ich möchte es eben ungern die Konfiguration global vornehmen. Damit kannst du es nicht alle Kunden recht machen. Daher fände ich eine Implementierung in Panel gar nicht so verkehrt. So kann jeder Kunde (gerne nach Freischaltung) selbst entsprechend für seine Seite konfigurieren.
Jolinar wrote: ↑Sat 20. Apr 2019, 23:24
Die im Startpost verlinkte Seite erhält (entgegen den eigenen Angaben auf der Seite) nur ein A bei SSL Labs und unterstützt auch noch TLS1.0 und TLS1.1 sowie viele schwache Cipher
Wird eben auch nicht mehr aktiv gepflegt.
/Dani
Re: Anpassung SSL Protokoll und Cipher Suites
Posted: Sun 21. Apr 2019, 09:55
by Jolinar
Blackmoon wrote: ↑Sat 20. Apr 2019, 23:55
Ich möchte es eben ungern die Konfiguration global vornehmen. Damit kannst du es nicht alle Kunden recht machen.
Blackmoon wrote: ↑Sun 2. Dec 2018, 20:52
Das Selbe gilt natürlich auch für die anderen Dienste Postfix, ProFTPd, etc..
Und da liegt schon eins der Probleme...Dem Apache kann man diese Regeln per vHost (sogar per Directory) mitgeben. Postfix z.B. kann man nur global reglementieren.
Und wenn ich das richtig in Erinnerung habe, dann erlaubt der PCI-Standard glaube garkeinen Einsatz auf shared Systemen, also müßte jeder Kunde mit diesen Anforderungen doch sowieso auf einer dedizierten Maschine untergebracht werden...
Re: Anpassung SSL Protokoll und Cipher Suites
Posted: Sun 28. Apr 2019, 13:27
by Blackmoon
Und da liegt schon eins der Probleme...Dem Apache kann man diese Regeln per vHost (sogar per Directory) mitgeben. Postfix z.B. kann man nur global reglementieren.
Um vHost bzw. Webserver habe ich mir bis dato eigentlich am wengisten Sorgen gemacht. Aber klar, beim Mailservice sieht es anders. Wobei gibt es wirklich noch so viele Mailserver, die nicht mit TLS 1.2 umgehen können? Kennt jemand diesbezüglich eine Statistik von einem großen Provider?
Und wenn ich das richtig in Erinnerung habe, dann erlaubt der PCI-Standard glaube garkeinen Einsatz auf shared Systemen, also müßte jeder Kunde mit diesen Anforderungen doch sowieso auf einer dedizierten Maschine untergebracht werden...
Kleiner Auszug.
Ja und Nein. Es gibt Unternehmen die müssen PCI DSS vollständig umsetzen, da regelmäßig ein Audit durchgeführt wird. Andere sind an PC DSS angelehnt. D.h. können Teile davon ausklammern. Dann gibts noch Kunden die sich an der TR der BSI bezüglich TLS orentieren.
Ich habe bereits über "Zusätzliche Apache-Anweisungen" versucht. Aber leider erfolglos.
Ich habe die Änderung nun direkt über Datei /etc/apache2/mods-enabled/ssl.conf durchgeführt. Da hat es problemlos funktioniert.
/Dani