SSL-Sicherheit verbessern: Unterschied zwischen den Versionen

[unmarkierte Version][unmarkierte Version]
(Die Seite wurde neu angelegt: „Die Standardkonfiguration der meisten Betriebssysteme ermoeglicht die Nutzung beliebiger Verschlüsselungs- und Hash-Verfahren durch Anwendungen, welche als SS…“)
 
Zeile 1: Zeile 1:
Die Standardkonfiguration der meisten Betriebssysteme ermoeglicht die Nutzung beliebiger Verschlüsselungs- und Hash-Verfahren durch Anwendungen, welche als SSL-Client oder -Server agieren. Während dies die größtmögliche Kompatibilität zu anderen Client- und Server-Anwendungen sicherstellt, entspricht es aufgrund der Unterstützung unsicherer Protokolle, Verschlüsselungs- und Hash-Verfahren  nicht länger den Erwartung an SSL-verschlüsselte Verbindungen in Bezug auf Vertraulichkeit und Authentisierung der übertragenen Daten.
+
Die Standardkonfiguration der meisten Betriebssysteme ermöglicht die Nutzung beliebiger Verschlüsselungs- und Hash-Verfahren durch Anwendungen, welche als SSL-Client oder -Server agieren. Während dies die größtmögliche Kompatibilität zu anderen Client- und Server-Anwendungen sicherstellt, entspricht es aufgrund der Unterstützung unsicherer Protokolle, Verschlüsselungs- und Hash-Verfahren  nicht länger den Erwartungen an SSL-verschlüsselte Verbindungen in Bezug auf Vertraulichkeit und Authentisierung der übertragenen Daten.
  
Daher besteht das Verbessern von SSL-Sicherheit hauptsächlich aus dem Abschalten dieser unsicheren Protokolle, Verschlüsselungs- und Hash-Verfahren und dem Priorisieren von Verschlüsselungsverfahren welche die Nutzung von [[wikipedia:Perfect Forward Secrecy|Perfect Forward Secrecy]] ermöglichen.
+
Daher besteht das Verbessern von SSL-Sicherheit hauptsächlich aus dem Abschalten dieser unsicheren Protokolle, Verschlüsselungs- und Hash-Verfahren und dem Priorisieren von Verschlüsselungsverfahren, welche die Nutzung von [[wikipedia:Perfect Forward Secrecy|Perfect Forward Secrecy]] ermöglichen.
  
Da MailStore Server den Windows-eigenen Security Support Provider (SSP), genannt ''Secure Channel'' (auch bekannt als ''Schannel'') verwendet, ist es notwendig, eine Vielzahl von Registrierungsschlüsseln zu erstellen oder zu verändern um unsichere Protokolle, Verschlüsselungs- und Hash-Verfahren zu deaktivieren. Auch wenn Microsofts Technet Artikel [http://support.microsoft.com/kb/245030 How to restrict the use of certain cryptographic algorithms and protocols in Schannel.dll] im Detail beschreibt, welche Registrierungsschlüssel die Einstellungen des Security Support Providers beeinflussen, ist es nicht empfohlen diese Schlüssel händisch zu verändern. Einen sichereren Weg stellt die Nutzung von [https://www.nartac.com/ Nartac Softwares IIS Crypto] dar.
+
Da MailStore Server den Windows-eigenen Security Support Provider (SSP), genannt ''Secure Channel'' (auch bekannt als ''Schannel'') verwendet, ist es notwendig, eine Vielzahl von Registrierungsschlüsseln zu erstellen oder zu verändern, um unsichere Protokolle, Verschlüsselungs- und Hash-Verfahren zu deaktivieren. Auch wenn Microsofts Technet Artikel [http://support.microsoft.com/kb/245030 How to restrict the use of certain cryptographic algorithms and protocols in Schannel.dll] im Detail beschreibt, welche Registrierungsschlüssel die Einstellungen des Security Support Providers beeinflussen, ist es nicht empfohlen, diese Schlüssel händisch zu verändern. Einen sichereren Weg stellt die Nutzung von [https://www.nartac.com/ Nartac Softwares IIS Crypto] dar.
  
<p class="mswarning">'''Wichtiger Hinweis: '''Änderungen an der Konfiguration des Security Support Providers (SSP) haben möglicherweise Einfluss auf allgemeine Betriebssystemfunktionen wie Authentifizierungsdienste so wie Remote Desktop- und Management-Funktionen oder Anwendungen von Drittherstellern welchen ebenfalls SSP nutzen. Daher ist nach dem Anwenden von Konfigurationsänderungen sorgfältiges Testen aller Dienste erforderlich.</p>
+
<p class="mswarning">'''Wichtiger Hinweis: '''Änderungen an der Konfiguration des Security Support Providers (SSP) haben möglicherweise Einfluss auf allgemeine Betriebssystemfunktionen wie Authentifizierungsdienste so wie Remote Desktop- und Management-Funktionen oder Anwendungen von Drittherstellern, welche ebenfalls SSP nutzen. Daher ist nach dem Anwenden von Konfigurationsänderungen ein sorgfältiges Testen aller Dienste erforderlich.</p>
  
 
== Empfohlene Einstellungen ==
 
== Empfohlene Einstellungen ==
 
Das höchste Maß an Sicherheit erhalten Sie mit den folgenden Einstellungen in ''IIS Crypto'' auf dem MailStore Server Computer.
 
Das höchste Maß an Sicherheit erhalten Sie mit den folgenden Einstellungen in ''IIS Crypto'' auf dem MailStore Server Computer.
  
<p class="msnote">'''Bitte beachten:''' Die empfohlenen Einstellungen verhindern Verbindungen von Windows XP-Clients zu MailStore Server. Ist es notwendig Windows XP-Clients zu unterstützen, verwenden Sie die ''Best Practice'' Vorlage in ''IIS Crypto'', welche das unsichere ''SSL 3.0'' Protokoll, so wie die schwächeren Verschlüsselungsverfahren ''Triple DES 168/168'' und ''RC4 128/128'' und das ''MD5'' Hash-Verfahren reaktiviert.</p>
+
<p class="msnote">'''Bitte beachten:''' Die empfohlenen Einstellungen verhindern Verbindungen von Windows XP-Clients zu MailStore Server. Ist es notwendig Windows XP-Clients zu unterstützen, verwenden Sie die ''Best Practice'' Vorlage in ''IIS Crypto'', welche das unsichere ''SSL 3.0'' Protokoll, sowie die schwächeren Verschlüsselungsverfahren ''Triple DES 168/168'' und ''RC4 128/128'' und das ''MD5'' Hash-Verfahren reaktiviert.</p>
  
 
{| class="wikitable"
 
{| class="wikitable"

Version vom 30. Oktober 2014, 10:29 Uhr

Die Standardkonfiguration der meisten Betriebssysteme ermöglicht die Nutzung beliebiger Verschlüsselungs- und Hash-Verfahren durch Anwendungen, welche als SSL-Client oder -Server agieren. Während dies die größtmögliche Kompatibilität zu anderen Client- und Server-Anwendungen sicherstellt, entspricht es aufgrund der Unterstützung unsicherer Protokolle, Verschlüsselungs- und Hash-Verfahren nicht länger den Erwartungen an SSL-verschlüsselte Verbindungen in Bezug auf Vertraulichkeit und Authentisierung der übertragenen Daten.

Daher besteht das Verbessern von SSL-Sicherheit hauptsächlich aus dem Abschalten dieser unsicheren Protokolle, Verschlüsselungs- und Hash-Verfahren und dem Priorisieren von Verschlüsselungsverfahren, welche die Nutzung von Perfect Forward Secrecy ermöglichen.

Da MailStore Server den Windows-eigenen Security Support Provider (SSP), genannt Secure Channel (auch bekannt als Schannel) verwendet, ist es notwendig, eine Vielzahl von Registrierungsschlüsseln zu erstellen oder zu verändern, um unsichere Protokolle, Verschlüsselungs- und Hash-Verfahren zu deaktivieren. Auch wenn Microsofts Technet Artikel How to restrict the use of certain cryptographic algorithms and protocols in Schannel.dll im Detail beschreibt, welche Registrierungsschlüssel die Einstellungen des Security Support Providers beeinflussen, ist es nicht empfohlen, diese Schlüssel händisch zu verändern. Einen sichereren Weg stellt die Nutzung von Nartac Softwares IIS Crypto dar.

Wichtiger Hinweis: Änderungen an der Konfiguration des Security Support Providers (SSP) haben möglicherweise Einfluss auf allgemeine Betriebssystemfunktionen wie Authentifizierungsdienste so wie Remote Desktop- und Management-Funktionen oder Anwendungen von Drittherstellern, welche ebenfalls SSP nutzen. Daher ist nach dem Anwenden von Konfigurationsänderungen ein sorgfältiges Testen aller Dienste erforderlich.

Empfohlene Einstellungen

Das höchste Maß an Sicherheit erhalten Sie mit den folgenden Einstellungen in IIS Crypto auf dem MailStore Server Computer.

Bitte beachten: Die empfohlenen Einstellungen verhindern Verbindungen von Windows XP-Clients zu MailStore Server. Ist es notwendig Windows XP-Clients zu unterstützen, verwenden Sie die Best Practice Vorlage in IIS Crypto, welche das unsichere SSL 3.0 Protokoll, sowie die schwächeren Verschlüsselungsverfahren Triple DES 168/168 und RC4 128/128 und das MD5 Hash-Verfahren reaktiviert.

Protocols Enabled TLS 1.0
TLS 1.1
TLS 1.2
Ciphers Enabled AES 128/128
AES 256/256
Hashes Enabled SHA
Key Exchange Enabled Diffie-Hellman
PKCS
SSL Cipher Suite Order TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA