NEU: SSL-Check

  • Ab sofort bieten wir einen neuen Service auf der LiveConfig-Website: der SSL-Check.


    Mit dem SSL-Check kann man bequem und blitzschnell die SSL-Konfiguration auf allen wichtigen Standard-Ports prüfen (derzeit: 25 (SMTP), 465 (SMTPS), 587 (Submission), 443 (HTTPS), 993 (POP3S), 995 (IMAPS) und 8443 (LiveConfig). POP3/IMAP mit STARTTLS kommen in Kürze noch dazu.


    Der SSL-Check ersetzt ausdrücklich nicht ausführliche Protokolltests wie z.B. den Qualys SSL-Test. Vielmehr soll der SSL-Tests einen schnellen Überblick über alle konfigurierten Zertifikate bieten (Qualys testet derzeit nur Port 443). Zudem zeigt der SSL-Check an, ob DNSSEC für die angegebene Domain aktiviert ist, sowie die für TLSA-Records (DANE) relevanten Zertifikat-/Key-Hashes (mehr dazu in Kürze in einem separaten Beitrag).


    SSL-Check: https://www.liveconfig.com/de/sslcheck
    Dokumentation: https://www.liveconfig.com/wiki/de/sslcheck


    Der SSL-Test wird in der nächsten Zeit noch weiter ausgebaut - insbesondere die häufigsten Fehler (selbstsignierte Zertifikate, unsichere DH-Parameter, etc.) sollen erkannt und entsprechend hervorgehoben werden.
    Für Feedback, Anregungen und eventuelle Fehlermeldungen bitte einfach in diesem Thread antworten, oder eine Mail an support@liveconfig.com schicken.


    Viele Grüße


    -Klaus Keppler

  • Ab sofort werden auch FTPES und POP3/IMAP (STARTTLS) geprüft. Außerdem zeigt der Check nun weitere Infos an, u.a. OCSP-Support auf Port 443, verwendetes SSL-Protokoll sowie den Key-Typ & Größe. Im nächsten Schritt werden die gesammelten Infos aufbereitet und Tipps für eine bessere Konfiguration gegeben. Mit den ganzen Infos kann ja leider nicht jeder auf den ersten Blick etwas anfangen. ;)

  • Streng genommen geht es ja um "OCSP Stapling" (nicht um OSCP). Beim OCSP-Stapling wird (ganz vereinfacht gesagt) eine von der CA signierte Bestätigung, dass das Zertifikat nicht zurückgezogen wurde, mit dem Zertifikat zusammen an den Client (Browser) gesendet. Wie so eine Nachricht "roh" aussieht kann man z.B. beim SSL-Check auf demo.liveconfig.com anschauen.


    OCSP-Stapling erfordert, dass der Server (Apache/NGINX/etc) regelmäßig bei der jeweiligen CA eine solche signierte Bestätigung abholt, um die dann an anfragende Clients mit auszuliefern.


    Bei Apache ist das ab Version 2.3.3 implementiert, bei NGINX ab 1.3.7. Um die Frage von Andreas zu beantworten: nein, da lässt sich leider nichts tricksen (außer: Apache selbst kompilieren oder einen Jessie-Backport installieren).


    Prinzipiell ist OCSP-Stapling auch mit anderen Diensten denkbar, da aber der meiste OCSP-Traffic durch Browser erzeugt wird, dürfte das bei allen anderen Protokollen relativ unwichtig sein. Zumal ja ohnehin fraglich ist, wie viele FTP-Clients/MUAs/MTAs/etc. tatsächlich per OCSP die Gültigkeit eines Zertifikats prüfen.


    Eine serverseitige Implementierung von OCSP-Stapling in LiveConfig ist nicht unmöglich (das Protokoll ist nicht sooo komplex), kostet aber (geschätzt) mindestens 1-2 Mannmonate. Wir haben das bereits auf der Wunschliste, aber mit sehr niedriger Priorität.


    Hauptvorteil von OCSP-Stapling (neben der Entlastung der CAs von OCSP-Requests und somit schnellerem SSL-Erst-Handshake) ist eben die Tatsache, dass die CA so nicht mehr mitbekommt, für welches Zertifikat die Gültigkeit geprüft wird (und somit implizit welche Website ein Browser gerade besuchen will).
    [offtopic]So lange man aber das "Safe Browsing" im Firefox/Chrome/etc. nicht abschaltet, wird ohnehin jede angesurfte URL an Google & Co. übermittelt...[/offtopic]


    Viele Grüße


    -Klaus Keppler

  • kk,
    danke für die ausführliche Beschreibung. Habe soweit alles verstanden ;)


    Aber ein Update von Apache 2.2.x auf 2.3x soll unter Wheezy leider nicht ohne Probleme funktionieren.
    Habe recht viel darüber gefunden bei G***** Sollte man wirklich nicht einfach testen.
    Am besten wenn man komplett auf Jessie umstellt. Ich bleibe vorerst mit meinen Servern bei Wheezy...

  • Ich bleibe vorerst mit meinen Servern bei Wheezy...


    Weil?


    - PHP 5.4 ist EoL
    - PHP 5.6 ist DEUTLICH performanter als 5.4
    - Dovecot 2.2 nochmal besser als Dovecot 2.1
    - Jessie bringt MariaDB
    - €dit: Nach den letzten OpenSSL-Fails sollte man es auch vermeiden, auf Wheezy (oder generell alten Versionen!) zu bleiben. Stichwort DH-Parameter.


    Ich seh ehrlich keine Gründe, noch bei Wheezy zu bleiben. "Aber mein $CMS kann kein PHP 5.6!" - dann wird's Zeit für ein Update von $CMS ;)


  • Moin,
    du scheinst deinen Server alleine zu nutzen, dann geht das alles.
    PHP 5.6 ist schon gut, nur leider unterstützt der Grossteil der Software dies nicht. Also lieber noch ein paar Monate warten...

  • Ähm, nach dem hier und dem Beitrag im anderen Thread gehe ich jetzt davon aus das du deine Kunden alle persönlich betreust?


    Teils, durchaus. Ist halt schlichtweg eine Preisfrage.


    Alles andere läuft dann auf "Lieber Kunde, kümmer dich um deinen Wartungsvertrag für $CMS, erspart dir auch Ärger mit gehackten Installationen. Außerdem ist mit neuerer PHP-Version die Performance besser sowie bei neueren CMS-Versionen mehr Features dabei." raus.


    Wer immer noch Joomla 1.0 hosten muss (ja, gibt es hier auch - noch), darf sich halt nicht über Spamversand oder ausgehende DDoS wundern.

  • du scheinst deinen Server alleine zu nutzen, dann geht das alles.


    Bei weitem nicht.


    Zitat

    PHP 5.6 ist schon gut, nur leider unterstützt der Grossteil der Software dies nicht. Also lieber noch ein paar Monate warten...


    Oder halt notfalls die PHP-Pakete von LiveConfig installieren und so dem Kunden, der es unbedingt benötigt, die alte Version (5.4 reicht da ja zur Auswahl mit 5.6) anzubieten.


    Shopware5 läuft aktuell noch mit 5.4, wird es aber zeitnah nicht mehr unterstützen. Joomla 3.4 läuft auch mit PHP 5.5 besser als 5.4, Typo3 Flow/Neos ja sowieso.

  • Streng genommen geht es ja um "OCSP Stapling" (nicht um OSCP).


    ja, da habe ich mich unklar ausgedückt.


    Eine serverseitige Implementierung von OCSP-Stapling in LiveConfig ist nicht unmöglich (das Protokoll ist nicht sooo komplex), kostet aber (geschätzt) mindestens 1-2 Mannmonate.


    ok, den Aufwand ist es imho nicht wert...

  • - PHP 5.4 ist EoL


    Anton, das ist Quatsch.
    Zum einen ist es noch nicht einmal seitens php.net EoL, erst in einigen Monaten, zum anderen wird es noch ca. 9 Monate vom Debian Security Team und anschließend voraussichtlich 2 Jahre vom Debian LTS Team gepflegt werden.


    Ich seh ehrlich keine Gründe, noch bei Wheezy zu bleiben.


    Jessie & Confixx schon getestet? *hust*


    "Aber mein $CMS kann kein PHP 5.6!" - dann wird's Zeit für ein Update von $CMS ;)


    Oder ein parallel installiertes PHP 5.3/5.4/5.5 - einen triftigen Grund, warum man das den Leuten, die es brauchen, nicht weiterhin bereitstellen kann, wüsste ich nicht.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!