Archiv für den Monat: August 2019

Änderungen an Browsern: Verstecken von Extended Validation und Abschaltung von TLS < 1.2

Extended Validation

Nach dem Safari und Edge vorgelegt haben, werden auch in Chrome 77 (Release Mitte September 2019) und Firefox 70 (Mitte Oktober 2019) die  Hinweise auf Extended Validation Zertifikate aus der Adresszeile verschwinden und in Page Info o.ä. Stellen versteckt werden.

Ankündigungen mit Screenshots:

https://groups.google.com/a/chromium.org/forum/#!topic/security-dev/h1bTcoTpfeI

https://groups.google.com/forum/#!topic/firefox-dev/6wAg_PpnlY4

Abschaltung alter TLS-Versionen

Ab Januar 2020 werden alle Browser-Hersteller Updates herausbringen, in denen der Support für TLS 1.0 und 1.1 entfernt wird. Sollten Sie Server einsetzen, die noch kein TLS 1.2 unterstützen, müssen Sie, je nach Nutzung des Servers, tätig werden. Grundsätzlich sollten alle Server-Betriebssysteme, die in 2020 noch Support haben, TLS 1.2 unterstützen. Es empfiehlt sich aber trotzdem, insbesondere ältere Installationen mit Werkzeugen wie https://ssllabs.com/ssltest oder https://testssl.sh zu überprüfen, ob TLS 1.2 wirklich konfiguriert ist.

https://blog.mozilla.org/security/2018/10/15/removing-old-versions-of-tls

https://security.googleblog.com/2018/10/modernizing-transport-security.html

https://blogs.windows.com/msedgedev/2018/10/15/modernizing-tls-edge-ie11/

https://webkit.org/blog/8462/deprecation-of-legacy-tls-1-0-and-1-1-versions/

 

(Jürgen Brauckmann, 13.08.2019)

Konfiguration von TLS-Servern: Aktueller Cipher-String 2019

Bekanntermaßen ist die Konfiguration der Crypto-Parameter von TLS-Servern  eine kontinuierliche Aufgabe, siehe hierzu auch den ausführlichen Artikel Konfiguration von TLS-Servern: Ständige Herausforderung.

Im Vergleich zu unserem letzten Cipher-String von Ende 2017 sind die folgenden Änderungen sinnvoll:

  • TLS 1.0 und 1.1 abschalten
  • RSA für den reinen Schlüsselaustausch deaktivieren
  • CBC deaktivieren

Am zweckmäßigsten scheint inzwischen eine kurze Positiv-Liste mit expliziter Angabe der unterstützten Cipher zu sein. Die DFN-PKI wird auf ihren Servern im Laufe von 2019 die folgende Konfiguration aktivieren:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder On

SSLCipherSuite 'ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256'

Zu einem so konfigurierten Server können die folgenden veralteten Clients keine Verbindung mehr aufnehmen: Safari <= 8, WinPhone 8.1, IE 8-10 auf Win7, Android <= 4.3, Java <= 7.

Bitte beachten Sie auch die weiteren Konfigurations-Empfehlungen aus dem oben genannten Artikel, insbesondere die Anleitung für individuelle Diffie-Hellman-Parameter.

(Jürgen Brauckmann, 07.08.2019)