OpenSSL

Schwache SSL Ciphers deaktivieren

| Kommentar hinterlassen

SSL (Secure Sockets Layer) ist ein Protokoll, das eine verschlüsselte Verbindung zwischen zwei Teilnehmern gewährleistet. SSL unterstützt dabei mehrere  Algorithmen, wovon einige Standards als unsicher gelten, da entweder der Algorithmus selbst Schwächen aufweist oder die verwendeten Schlüssel einfach zu kurz sind.

Anleitungen

Apache: So deaktivieren Sie schwache SSL Ciphers.

nginx: So deaktivieren Sie schwache SSL Ciphers.

Hintergrund

Beim Handshake tauschen Client und Server ihre Liste von unterstützen Algorithmen (Ciphers) aus und einigen sich dann auf den besten Algorithmus, den beide Geräte unterstützen. Wenn ein Server also schwache Ciphers unterstützt, dann heisst das nicht, dass sämtliche Verbindungen per se unsicher sind.

Um die Möglichkeit einer unsicheren Verbindung gar nicht erst aufkommen zu lassen, empfehlen wir daher, sämtliche Algorithmen, die nur eine Pseudo-Verschlüsselung oder eine unzureichende Verschlüsselung bieten, nicht zu unterstützten.

In den meisten Fällen kann dies ganz einfach über die Konfiguration realisiert werden. Bei Appliances ist oft Rücksprache mit dem Hersteller notwendig, da ein Firmware Upgrade notwendig sein könnte.

Die SSL Konfiguration sollte regelmässig überprüft werden, da Updates bereits angepasste Settings überschreiben können.

Schreiben Sie einen Kommentar

Required fields are marked *.