SSL-Sicherheit verbessern: Unterschied zwischen den Versionen
| [unmarkierte Version] | [gesichtete Version] |
(Die Seite wurde neu angelegt: „Die Standardkonfiguration der meisten Betriebssysteme ermoeglicht die Nutzung beliebiger Verschlüsselungs- und Hash-Verfahren durch Anwendungen, welche als SS…“) |
|||
| (7 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| − | Die Standardkonfiguration der meisten Betriebssysteme | + | Die Standardkonfiguration der meisten Betriebssysteme ermöglicht die Nutzung beliebiger Verschlüsselungs- und Hash-Verfahren durch Anwendungen, welche als SSL-Client oder -Server agieren. Während dies die größtmögliche Kompatibilität zu anderen Client- und Server-Anwendungen sicherstellt, entspricht es aufgrund der Unterstützung unsicherer Protokolle, Verschlüsselungs- und Hash-Verfahren nicht länger den Erwartungen an SSL-verschlüsselte Verbindungen in Bezug auf Vertraulichkeit und Authentisierung der übertragenen Daten. |
| − | Daher besteht das Verbessern | + | Daher besteht das Verbessern der SSL-Sicherheit hauptsächlich aus dem Abschalten dieser unsicheren Protokolle, Verschlüsselungs- und Hash-Verfahren und dem Priorisieren von Verschlüsselungsverfahren, welche die Nutzung von [[wikipedia:Perfect Forward Secrecy|Perfect Forward Secrecy]] ermöglichen. |
| − | Da MailStore Server den Windows-eigenen Security Support Provider (SSP), genannt ''Secure Channel'' (auch bekannt als ''Schannel'') verwendet, ist es notwendig, eine Vielzahl von Registrierungsschlüsseln zu erstellen oder zu verändern um unsichere Protokolle, Verschlüsselungs- und Hash-Verfahren zu deaktivieren. Auch wenn Microsofts | + | Da MailStore Server den Windows-eigenen Security Support Provider (SSP), genannt ''Secure Channel'' (auch bekannt als ''Schannel'') verwendet, ist es notwendig, eine Vielzahl von Registrierungsschlüsseln zu erstellen oder zu verändern, um unsichere Protokolle, Verschlüsselungs- und Hash-Verfahren zu deaktivieren. Auch wenn Microsofts Artikel [https://docs.microsoft.com/en-us/windows-server/security/tls/tls-registry-settings Transport Layer Security (TLS) registry settings] im Detail beschreibt, welche Registrierungsschlüssel die Einstellungen des Security Support Providers beeinflussen, ist es nicht empfohlen, diese Schlüssel händisch zu verändern. Einen sichereren Weg stellt die Nutzung von [https://www.nartac.com/ Nartac Softwares IIS Crypto] dar. |
| − | <p class="mswarning">'''Wichtiger Hinweis: '''Änderungen an der Konfiguration des Security Support Providers (SSP) haben möglicherweise Einfluss auf allgemeine Betriebssystemfunktionen wie Authentifizierungsdienste | + | <p class="mswarning">'''Wichtiger Hinweis: '''Änderungen an der Konfiguration des Security Support Providers (SSP) haben möglicherweise Einfluss auf allgemeine Betriebssystemfunktionen wie Authentifizierungsdienste sowie auf Remote Desktop- und Management-Funktionen oder auf Anwendungen von Drittherstellern, welche ebenfalls SSP nutzen. Daher ist nach dem Anwenden von Konfigurationsänderungen ein sorgfältiges Testen aller Dienste erforderlich.</p> |
== Empfohlene Einstellungen == | == Empfohlene Einstellungen == | ||
| − | Das höchste Maß an Sicherheit erhalten Sie mit den folgenden Einstellungen in ''IIS Crypto'' auf dem MailStore Server Computer. | + | Das höchste Maß an Sicherheit erhalten Sie mit den folgenden Einstellungen in ''IIS Crypto'' auf dem MailStore Server Computer. Einige Optionen stehen nur unter Windows Server 2022 und Windows 11 zur Verfügung. |
| − | |||
| − | |||
{| class="wikitable" | {| class="wikitable" | ||
| '''Protocols Enabled''' | | '''Protocols Enabled''' | ||
| − | | TLS 1. | + | | TLS 1.3<br/> |
| + | TLS 1.2 | ||
|- | |- | ||
| '''Ciphers Enabled''' | | '''Ciphers Enabled''' | ||
| − | | AES 128/128<br/>AES 256/256 | + | | AES 128/128<br/> |
| + | AES 256/256 | ||
|- | |- | ||
| '''Hashes Enabled''' | | '''Hashes Enabled''' | ||
| − | | SHA | + | | SHA<br/> |
| + | SHA256<br/> | ||
| + | SHA384<br/> | ||
| + | SHA512<br/> | ||
|- | |- | ||
| '''Key Exchange Enabled''' | | '''Key Exchange Enabled''' | ||
| − | | Diffie-Hellman<br/>PKCS | + | | Diffie-Hellman<br/> |
| + | PKCS<br/> | ||
| + | ECDH | ||
|- | |- | ||
| '''SSL Cipher Suite Order''' | | '''SSL Cipher Suite Order''' | ||
| − | | | + | | TLS_AES_256_GCM_SHA384<br/> |
| − | + | TLS_AES_128_GCM_SHA256<br/> | |
| − | + | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384<br/> | |
| − | + | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256<br/> | |
| − | + | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384<br/> | |
| − | + | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256<br/> | |
| − | + | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA<br/> | |
| − | + | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA<br/> | |
| − | + | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384<br/> | |
| − | + | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256<br/> | |
| − | + | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384<br/> | |
| − | + | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256<br/> | |
| − | + | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA<br/> | |
| − | + | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA<br/> | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
|} | |} | ||
[[de:SSL-Sicherheit verbessern]] | [[de:SSL-Sicherheit verbessern]] | ||
[[en:Enhancing SSL Security]] | [[en:Enhancing SSL Security]] | ||
Aktuelle Version vom 22. August 2023, 14:04 Uhr
Die Standardkonfiguration der meisten Betriebssysteme ermöglicht die Nutzung beliebiger Verschlüsselungs- und Hash-Verfahren durch Anwendungen, welche als SSL-Client oder -Server agieren. Während dies die größtmögliche Kompatibilität zu anderen Client- und Server-Anwendungen sicherstellt, entspricht es aufgrund der Unterstützung unsicherer Protokolle, Verschlüsselungs- und Hash-Verfahren nicht länger den Erwartungen an SSL-verschlüsselte Verbindungen in Bezug auf Vertraulichkeit und Authentisierung der übertragenen Daten.
Daher besteht das Verbessern der SSL-Sicherheit hauptsächlich aus dem Abschalten dieser unsicheren Protokolle, Verschlüsselungs- und Hash-Verfahren und dem Priorisieren von Verschlüsselungsverfahren, welche die Nutzung von Perfect Forward Secrecy ermöglichen.
Da MailStore Server den Windows-eigenen Security Support Provider (SSP), genannt Secure Channel (auch bekannt als Schannel) verwendet, ist es notwendig, eine Vielzahl von Registrierungsschlüsseln zu erstellen oder zu verändern, um unsichere Protokolle, Verschlüsselungs- und Hash-Verfahren zu deaktivieren. Auch wenn Microsofts Artikel Transport Layer Security (TLS) registry settings im Detail beschreibt, welche Registrierungsschlüssel die Einstellungen des Security Support Providers beeinflussen, ist es nicht empfohlen, diese Schlüssel händisch zu verändern. Einen sichereren Weg stellt die Nutzung von Nartac Softwares IIS Crypto dar.
Wichtiger Hinweis: Änderungen an der Konfiguration des Security Support Providers (SSP) haben möglicherweise Einfluss auf allgemeine Betriebssystemfunktionen wie Authentifizierungsdienste sowie auf Remote Desktop- und Management-Funktionen oder auf Anwendungen von Drittherstellern, welche ebenfalls SSP nutzen. Daher ist nach dem Anwenden von Konfigurationsänderungen ein sorgfältiges Testen aller Dienste erforderlich.
Empfohlene Einstellungen
Das höchste Maß an Sicherheit erhalten Sie mit den folgenden Einstellungen in IIS Crypto auf dem MailStore Server Computer. Einige Optionen stehen nur unter Windows Server 2022 und Windows 11 zur Verfügung.
| Protocols Enabled | TLS 1.3 TLS 1.2 |
| Ciphers Enabled | AES 128/128 AES 256/256 |
| Hashes Enabled | SHA SHA256 |
| Key Exchange Enabled | Diffie-Hellman PKCS |
| SSL Cipher Suite Order | TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256 |
