PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [✔] HTTPS-Einstellungen



Zarroc
08.01.2016, 21:58
Ein paar Vorschläge wie eure HTTPS-Einstellungen verbessert werden können.

Besonders wichtig wäre alle HTTP-Anfragen nach HTTPS weiterzuleiten. Momentan kann es schnell passieren das Login-Daten oder Session-Cookies im Klartext übertragen werden.
In dem Zusammenhang auch nicht vergessen die Cookies als secure zu markieren, damit sie auch wirklich nur per HTTPS übertragen werden, und nicht schon beim anfänglichen HTTP-Request dabei sind.

Dann benutzt ihr auch schwache Diffie-Hellman-Parameter. Nur 1024 bit Schlüssellänge und die Primzahlen sind sehr verbreitet. Soweit man weiß wird diese Kombination seit Jahren aktiv von der NSA ausgenutzt um Massenweise verschlüsselte Verbindungen zu knacken.

Weitere Einstellungen über die man nachdenken könnte:
- OCSP stapling aktivieren.
- Strict Transport Security (HSTS) aktivieren.
- Auch noch die AES 256-Versionen der derzeit aktiven Cipher Suites aktivieren. Müssen ja nicht unbedingt in der Liste oben stehen.
- DNSSEC aktivieren.

Edit: Fast vergessen, hier ist der aktuelle Testbericht: https://www.ssllabs.com/ssltest/analyze.html?d=filecrypt.cc

Nuka
08.01.2016, 22:02
Ein paar Vorschläge wie eure HTTPS-Einstellungen verbessert werden können.

Besonders wichtig wäre alle HTTP-Anfragen nach HTTPS weiterzuleiten.

Leider nicht möglich, da so keine Werbung (http) mehr eingebunden werden kann. Die sonstigen Informationen werde ich der richtigen Stelle zukommen lassen.

Zarroc
08.01.2016, 22:31
Verstehe. Könnte man dann vielleicht wenigstens Zugriffe auf die Login-Seite auf HTTPS umleiten? Ist zwar bei weitem nicht perfekt, aber sollte zumindest das allerwichtigste ein wenig schützen.

Außerdem könnte man noch eine nette Email an die Werbenetzwerke schreiben, ob sie nicht die Werbung auch per HTTPS bereitstellen könnten. Ich erwarte natürlich nicht, dass das direkt irgendetwas bewirkt. Aber je mehr Webmaster sich HTTPS-Werbung wünschen, desto eher wird es die auch irgendwann geben.

Nuka
09.01.2016, 18:44
Außerdem könnte man noch eine nette Email an die Werbenetzwerke schreiben, ob sie nicht die Werbung auch per HTTPS bereitstellen könnten. Ich erwarte natürlich nicht, dass das direkt irgendetwas bewirkt. Aber je mehr Webmaster sich HTTPS-Werbung wünschen, desto eher wird es die auch irgendwann geben.

Das haben wir schon probiert, allerdings steht der dann wieder vor dem gleichen Problem, dass seine Kunden dann auch wieder HTTPS bereitstellen müssten usw.

Ansonsten sei gesagt, dass wir heute schon Änderungen vorgenommen haben.