Standortauswahl 14x in Deutschland
Kontakt
Mahr EDV GmbH
Standortauswahl 14x in Deutschland
Kontaktformular
Webserver SSL Sicherheit testen
Passt Mahr EDV
zu meinem Unternehmen?

Webserver SSL Sicherheit testen

12.10.2016

Webserver sind gravierenden Risiken ausgesetzt. Es empfiehlt sich, eine gute Firewall einzusetzen, Server und Firewall aktuell zu halten, die Anwendungen regelmäßig zu prüfen und vielleicht gar ein Intrusion Detection System zu verwenden. All dies ist bei Ihnen in bester aktuellster Ordnung?

Webserver SSL Sicherheit testen

Wie sieht es im Bereich SSL auf Ihren Servern aus? Machen Sie einen schnellen Test unter https://www.ssllabs.com/ssltest/index.html.

Ergebnisse

Ein gutes Ergebnis würde mit der Note A belohnt:

webserver-absichern-ssl-verstaerken-a

 

 

 

 

 

 

Weniger optimistisch dürften IT Administratoren mit einer Note C oder gar schlechter die Sicherheit beurteilen:

webserver-absichern-ssl-verstaerken-c

 

 

 

 

 

 

 

Maßnahmen

Wenngleich ssllabs.com viele mögliche Maßnahmen hervorragend beschreibt, wollen wir für einige der häufigsten Sicherheitslücken schnelle Lösungen präsentieren, die wir selbst getestet und in produktiven Windows ISS Web-Servern mit Erfolg umgesetzt haben. Bitte lesen Sie unbedingt vorab unsere Warnhinweise unten!

 

  • POODLE attack

    Durch eine Änderung der Registrierung wie folgt werden einige besonders unsichere SSL Verbindungen deaktiviert:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
“DisabledByDefault”=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
“Enabled”=dword:00000000

  • Older RC4 cipher

    Durch eine weitere Änderung der Registrierung wie folgt werden einige besonders schwache RC4 Verschlüsselungen deaktiviert:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
“Enabled”=dword:00000000

  • Weak Diffie-Hellman (DIH)

    Durch eine Änderung in den lokalen Richtlinien per gpedit.msc in Computerkonfiguration, Administrative Vorlagen, Netzwerk, SSL-Konfigurationseinstellungen, Reihenfolge der SSL-Verschlüsselungssammlungen bzw. Aktivierung der Reihenfolge der SSL-Verschlüsselungssammlungen und Angabe bspw. der folgenden Verschlüsselungssammlungen in den Optionen wird auch diese Schwachstelle behoben:

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256, TLS_DHE_DSS_WITH_AES_256_CBC_SHA256, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA256, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA, SSL_CK_DES_192_EDE3_CBC_WITH_MD5

Warnhinweise

Die hier veröffentlichten Informationen bezüglich der Webserver SSL Sicherheit richten sich ausschließlich an sehr erfahrene IT Systemadministratoren. Um Datenverlust, Arbeitsunterbrechung und weitere Schäden durch die Umsetzung von Lösungen zu vermeiden, ist neben vorherigen Tests und Backups Professionalität und Erfahrung erforderlich. Sollten Sie bei Ihren Systemen mit dem oben genannten Testverfahren Sicherheitslücken feststellen, so empfehlen wir, umgehend die Unterstützung eines unserer erfahrenen Mahr EDV IT Systemadministratoren in Anspruch zu nehmen. Vor der Umsetzung im Produktivsystem sollten Tests mit einer Kopie des produktiven Systems durchgeführt werden und aktuelle Sicherungen existieren, damit der Weg zurück jederzeit möglich ist, wenn unerwartete Effekte eintreten. Die hier vorgeschlagenen Lösungen sind ausführlich getestet. Dennoch können wir keine Haftung dafür übernehmen, dass diese auf Ihren Systemen ebenso funktionieren.