Schwache SSL Ciphers deaktivieren

SSL (Secure Sockets Layer) ist ein Protokoll, das eine verschlüsselte Verbindung zwischen zwei Teilnehmern gewährleistet. SSL unterstützt dabei mehrere Algorithmen, wovon einige Standards als unsicher gelten, da entweder der Algorithmus selbst Schwächen aufweist oder die verwendeten Schlüssel zu kurz sind.

Anleitungen

• Apache: So deaktivieren Sie schwache SSL Ciphers
• Nginx: So deaktivieren Sie schwache SSL Ciphers

Hintergrund

Beim Handshake tauschen Client und Server ihre Liste von unterstützen Algorithmen (Ciphers) aus und einigen sich dann auf den besten Algorithmus, den beide Geräte unterstützen. Wenn ein Server also schwache Ciphers unterstützt, dann heisst das nicht, dass sämtliche Verbindungen per se unsicher sind.

Um die Möglichkeit einer unsicheren Verbindung gar nicht erst aufkommen zu lassen, empfehlen wir daher, sämtliche Algorithmen, die nur eine Pseudo-Verschlüsselung oder eine unzureichende Verschlüsselung bieten, nicht zu unterstützten.

In den meisten Fällen kann dies ganz einfach über die Konfiguration realisiert werden. Bei Appliances ist oft Rücksprache mit dem Hersteller notwendig, da ein Firmware Upgrade notwendig sein könnte.

Die SSL Konfiguration sollte regelmässig überprüft werden, da Updates bereits angepasste Settings überschreiben können und zuvor als sicher geltende Ciphers als unsicher deklariert werden können.