Ankündigung

Einklappen
Keine Ankündigung bisher.

SSL - Neuland und gleich ein wenig überfragt

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • SSL - Neuland und gleich ein wenig überfragt

    Hallo,

    ein frohes neues Jahr wünsche ich euch allen

    Ich arbeite mit an einem Internetprojekt für eine Berufsbranche welches aktuell auf einer Wordpress-Basis arbeitet.
    In Kürze wollen wir die Registrierung für Privatpersonen etablieren und da wir ab diesem Zeitpunkt private Daten erheben, möchten wir die Sicherheit ausbauen und eine SSL-Verbindung einrichten.

    Auch der Administrationsbereich der Website sollte gesichert sein. Da wir momentan noch nicht mit multiplen Subdomains arbeiten, wird ein Wildcard-Zertifikat nicht benötigt. (Den Unterschied habe ich schonmal verstanden )

    Da mir das nötige Fachwissen fehlt, fällt mir der Vergleich der verschiedenen Arten der Zertifikate und Anbieter momentan eher schwer.

    Die Unterschiede der Single Domains und Wildcards habe ich bereits verstanden, nun stehen jedoch noch viele Fragezeichen hinter verschiedenen Stichpunkten... Domain-Validation (DV), Organization-Validation (OV), Extended Validation (EV)(grüne adresszeile)
    IP statt Domain Validierung?
    SAN?
    Verschlüsselungstiefe?
    Tiefe des Root-Zertifikats?
    Garantie?
    Anbieter?


    Ich finde da diverse Anbieter mit teils gravierenden preislichen Unterschieden und bin da einfach ein wenig überfragt.
    Unsere Website wird in den nächsten Wochen/Monaten voraussichtlich einige hundert Registrierungen erwarten dürfen.
    Wir erheben keine Zahlungsinformationen jedoch persönliche Daten wie Adresse, Kontaktdaten ect.

    Auf was müssen wir achten? Welche Zertifikatsstärke/art ist die Richtige? Zu welchem Zertifikat könnt Ihr raten?

    Vielen Dank im voraus


  • #2
    Hast du einen eigene Root-Server? Falls ja, schau dir "lets encrypt" mal an. Das kostet nix und ist relativ gut konfigurierbar.
    http://www.fynder.de - Tutorials zum Thema Technik

    Kommentar


    • #3
      Zitat von Firehold Beitrag anzeigen
      Domain-Validation (DV), Organization-Validation (OV), Extended Validation (EV)(grüne adresszeile)
      Das bedeutet, welche zusätzlichen Daten im Zertifikat stehen sollen und wie intensiv diese vom Aussteller geprüft werden.

      Zitat von Firehold Beitrag anzeigen
      IP statt Domain Validierung?
      Domain Validierung, da sich die IP-Adresse ändern kann.

      Zitat von Firehold Beitrag anzeigen
      SAN?
      Falls sich mehrere Domainnamen (example.com und www.example.com) im Zertifikat befinden sollen.

      Zitat von Firehold Beitrag anzeigen
      Anbieter?
      https://letsencrypt.org für umsonst, wenn Domain-Validation (DV) ausreicht.

      Kommentar


      • #4
        Zitat von Andreas Beitrag anzeigen
        Hast du einen eigene Root-Server? Falls ja, schau dir "lets encrypt" mal an. Das kostet nix und ist relativ gut konfigurierbar.
        Aktuell benutzen wir noch einen Webspace unseres Hosters, da sich bei der aktuellen Projektgröße noch kein Root-Server rentiert. Dies wird später eventuell interessant, danke!

        Zitat von Blar Beitrag anzeigen
        Das bedeutet, welche zusätzlichen Daten im Zertifikat stehen sollen und wie intensiv diese vom Aussteller geprüft werden.
        Ist das lediglich kosmetischer Service also Stärkung des Sicherheitsgefühls des Kunden oder stecken da auch physische Unterschiede in der Sicherheitsstruktur?

        Zitat von Blar Beitrag anzeigen
        Falls sich mehrere Domainnamen (example.com und www.example.com) im Zertifikat befinden sollen.
        Ist für Subdomains nicht die Wildcard da? Die bisherigen Erklärungen bezogen sich eher auf grundsätzlich andere Domains wie example.com & beispiel.de falls man mehrere Websites betreibt.

        Zitat von Blar Beitrag anzeigen
        https://letsencrypt.org für umsonst, wenn Domain-Validation (DV) ausreicht.
        Für umsonst klingt natürlich sehr verführerisch, wie sieht es denn mit dem Sicherheitsstatus aus? Habe sehr oft gehört man soll von kostenlosen / OpenSource SSLs wie OpenSSL die Finger lassen, da die Sicherheit nicht ausreichend ist.

        Vielen Dank für eure Antworten!

        Kommentar


        • #5
          Zitat von Firehold Beitrag anzeigen
          Ist das lediglich kosmetischer Service also Stärkung des Sicherheitsgefühls des Kunden oder stecken da auch physische Unterschiede in der Sicherheitsstruktur?
          Vermutlich ist es für die meisten Personen nur kosmetisch, da kein normaler Besucher die Daten prüft.

          Zitat von Firehold Beitrag anzeigen
          Ist für Subdomains nicht die Wildcard da? Die bisherigen Erklärungen bezogen sich eher auf grundsätzlich andere Domains wie example.com & beispiel.de falls man mehrere Websites betreibt.
          Ein Wildcard-Zertificat ist für eine unbekannte / beliebige Anzahl von Subdomains. Bei example.com und www.example.com wäre es ein Multi-Domain-Zertifikat im Gegensatz zu *.example.com.

          Zitat von Firehold Beitrag anzeigen
          Für umsonst klingt natürlich sehr verführerisch, wie sieht es denn mit dem Sicherheitsstatus aus? Habe sehr oft gehört man soll von kostenlosen / OpenSource SSLs wie OpenSSL die Finger lassen, da die Sicherheit nicht ausreichend ist.
          Gibt keinen Unterschied. Entweder ein Client sieht ein Zertifikat als vertrauenswürdig an oder nicht. Es gibt kein etwas vertrauenswürdig.

          Kommentar


          • #6
            Zitat von Blar Beitrag anzeigen
            Ein Wildcard-Zertificat ist für eine unbekannte / beliebige Anzahl von Subdomains. Bei example.com und www.example.com wäre es ein Multi-Domain-Zertifikat im Gegensatz zu *.example.com.
            Ah, alles klar, danke!

            Zitat von Blar Beitrag anzeigen
            Gibt keinen Unterschied. Entweder ein Client sieht ein Zertifikat als vertrauenswürdig an oder nicht. Es gibt kein etwas vertrauenswürdig.
            Ich meinte eher bezogen auf den physischen Sicherheitsgrad. SSL Zertifikate sollen ja vor dem abfangen/abhören von Datenverbindungen schützen bzw. den Schutz verbessern/es Hackern schwieriger machen.
            Diesbezüglich wurde mir öfter gesagt open SSL Zertifikate seien ebenso ein Hindernis wie garkein SSL für Hacker da der ganze Code bzw die Verschlüsselung open/bekannt ist. Ich habe da kein Wissen und wollte daher mein gehörtes überprüfen lassen .
            Ich meine es wird außer der zusätzlichen grünen adressleiste ja noch andere Unterschiede zwischen den Zertifikaten/Anbietern geben oder?

            Kommentar


            • #7
              Zitat von Firehold Beitrag anzeigen
              Diesbezüglich wurde mir öfter gesagt open SSL Zertifikate seien ebenso ein Hindernis wie garkein SSL für Hacker da der ganze Code bzw die Verschlüsselung open/bekannt ist. Ich habe da kein Wissen und wollte daher mein gehörtes überprüfen lassen .
              Die OpenSSL Library auf die das halbe Internet setzt ist OpenSource. Da macht es auch keinen Unterschied ob du dein Zertifikat teuer kaufst oder bei LetsEncrypt gratis bekommst, die Verschlüsselung ist die selbe. Mal ganz abgesehen davon, dass das Zertifikat dich nur "ausweist", die Verbindung selbst aber über ganz andere Wege abgesichert wird.

              Zitat von Firehold Beitrag anzeigen
              Ich meine es wird außer der zusätzlichen grünen adressleiste ja noch andere Unterschiede zwischen den Zertifikaten/Anbietern geben oder?
              Der Zertifizierungspfad ist halt ein anderer, das bekommt man aber i.d.r. nicht mit, außer man schaut sich das Zertifikat und den Pfad eben mal an, was aber sogut wie niemand macht, Das grüne Schloss neben der URL ist exakt das selbe.
              Zitat von nikosch
              Macht doch alle was Ihr wollt mit Eurem Billigscheiß. Von mir aus sollen alle Eure Server abrauchen.

              Kommentar


              • #8
                Zitat von Firehold
                SSL Zertifikate sollen ja vor dem abfangen/abhören von Datenverbindungen schützen bzw. den Schutz verbessern/es Hackern schwieriger machen.
                So ausgedrückt ist das nicht richtig. So ein Zertifikat ist nur der Grund, warum eine sichere Verbindung aufgebaut werden kann, weil es die Vertrauenswürdigkeit der Verbindung (nicht aber des Verschlüsselungsalgorithmus) garantiert.

                Zitat von Firehold
                Diesbezüglich wurde mir öfter gesagt open SSL Zertifikate seien ebenso ein Hindernis wie garkein SSL für Hacker da der ganze Code bzw die Verschlüsselung open/bekannt ist.
                Richtig ist, dass der Code für die Verschlüsselung öffentlich ist. Ist das ein Problem? Ja und nein. Es hab tatsächlich schon ein paar mehr oder weniger erfolgreiche Angriffe auf OpenSSL (heardbleed und co) was aber weniger daran liegt, dass der Code öffentlich einsehbar ist, sondern weil er schlecht geschrieben und schwer verständlich ist (historisch gewachsen + wenig Anspruch an Lesbarkeit).

                Das ein Verschlüsselungsalgorithmus öffentlich bekannt ist, bietet darüber hinaus jedoch keine besondere Angriffsfläche, wenn er fehlerfrei ist. Closed Source Software ist für Hacker deswegen schwerer zu durchdringen, weil der Code für einen Menschen idR schwer(er) zu rekonstruieren ist. Rein vom sicherheitstechnischen Aspekt her dürfte OpenSSL genau so sicher/unsicher sein, wie Closed Source Software. Der Aufwand OpenSSL oder dir Idee hinter SSL zu hacken ist so aufwändig, dass es nur wenige Menschen geben dürfte, die überhaupt in der Lage sind, da einen Treffer zu landen. Wenn es offensichtliche Lücken gäbe, die der eigenen freien Wirtschaft schaden können, hätte die NSA (oder andere) schon einen Weg gefunden, einen entsprechenden Patch für OpenSSL beizusteuern um so das abfangen von Informationen für andere Geheimdienste zu erschweren.

                Bei euch kommt der wichtigste Sicherheitsaspekt wahrscheinlich aber von woanders. Wenn ihr euch nicht mal einen Root-Server leisten könnt, dann seid ihr kein Angriffsziel für Man-in-the-Middle-Attacken auf diesem Niveau. OpenSSL ist die am meisten verbreitete Bibliothek für SSL-basierte Verschlüsselung und mir sind keine Hackerangriffe von Entitäten bekannt, die SSL-Lücken nutzen würden, um in der Wirtschaft Schaden anzurichten, oder Informationen abzugreifen.

                Anders ausgedrückt: Selbst für ein Zalando oder Otto dürfte OpenSSL ausreichend sicher sein.
                Standards - Best Practices - AwesomePHP - Guideline für WebApps - php-contracts
                Du baust WebApps noch mit jQuery? Versuch es mal mit AngularJS oder ReactJS.

                Kommentar


                • #9
                  Zitat von rkr Beitrag anzeigen
                  Anders ausgedrückt: Selbst für ein Zalando oder Otto dürfte OpenSSL ausreichend sicher sein.
                  "ausreichend" hört sich immer so nach einem schlechten Kompromiss an, falls man keine genaue Ahnung von dem Thema hat.

                  Kommentar


                  • #10
                    Zitat von Blar
                    "ausreichend" hört sich immer so nach einem schlechten Kompromiss an, falls man keine genaue Ahnung von dem Thema hat.
                    Ich meine, dass man irgendwann anfängt statt Standardsoftware speziell gehärtete Software einzusetzen. Ob das als Ausgangspunkt dann noch OpenSSL ist (ich habe oben ja schon geschrieben, dass OpenSSL kein leicht zudurchdringender Stoff ist), ist fraglich.
                    Standards - Best Practices - AwesomePHP - Guideline für WebApps - php-contracts
                    Du baust WebApps noch mit jQuery? Versuch es mal mit AngularJS oder ReactJS.

                    Kommentar


                    • #11
                      Vielen Dank für eure Ausführlichen Informationen!
                      Das Leisten des Root Servers ist nicht das Problem, es rentiert sich halt momentan noch nicht.

                      Ist der Einsatz von OpenSSL bzw. Lets Encrypt denn möglich wenn man keinen Root Server besitzt? Bzw. wie komplex ist die erstellung/pflege eines solchen Zertifikats?

                      Wie sieht es denn mit den Stichpunkten
                      "Verschlüsselungstiefe" und "Tiefe des Root-Zertifikats" aus? Habe da bei verschiedenen Anbietern verschiedene Angaben zu gesehen.

                      Kommentar


                      • #12
                        Zitat von Firehold
                        Vielen Dank für eure Ausführlichen Informationen!
                        Das Leisten des Root Servers ist nicht das Problem, es rentiert sich halt momentan noch nicht.
                        Wo ist der Unterschied? Letztendlich wird aus wirtschaftlichen Erwägungen kein dedizierter Server oder vServer angeschafft. Alles gut.

                        Zitat von Firehold
                        Ist der Einsatz von OpenSSL bzw. Lets Encrypt denn möglich wenn man keinen Root Server besitzt? Bzw. wie komplex ist die erstellung/pflege eines solchen Zertifikats?
                        Let's Encrypt muss als Software auf dem System laufen und zertifikate aktualisieren können. Bei den mir bekannten Shared Hosting Paketen und den Managed Lösungen geht das nicht. Manche Shared Hoster haben mittlerweile aber eine Let's Encrypt Integration.
                        Standards - Best Practices - AwesomePHP - Guideline für WebApps - php-contracts
                        Du baust WebApps noch mit jQuery? Versuch es mal mit AngularJS oder ReactJS.

                        Kommentar


                        • #13
                          Zitat von rkr Beitrag anzeigen
                          Wo ist der Unterschied? Letztendlich wird aus wirtschaftlichen Erwägungen kein dedizierter Server oder vServer angeschafft. Alles gut.
                          Die Aktuelle Nutzerzahl ist für unser Empfinden noch nicht hoch genug um den Pflegeaufwand, die mehrkosten und die verbesserte Performance zu rechtfertigen. Wird aber wie gesagt dann auch demnächst sicherlich Spruchreif

                          Zitat von rkr Beitrag anzeigen
                          Let's Encrypt muss als Software auf dem System laufen und zertifikate aktualisieren können. Bei den mir bekannten Shared Hosting Paketen und den Managed Lösungen geht das nicht. Manche Shared Hoster haben mittlerweile aber eine Let's Encrypt Integration.
                          Oh das dachte ich mir, jedoch durfte ich soeben freudigerweise feststellen, dass mein Hoster LetyEncrypt einrichtungen unterstützt
                          Wie sieht es denn mit der Browserkompatibilität aus? Habe gehört bei manchen OpenSSL Zertifikaten kommt beim Aufruf eine Mitteilung die Seite sei nicht sicher?

                          Und kannst du mir etwas zu den verbliebenenen zwei Stichpunkten sagen?

                          Kommentar


                          • #14
                            Habe selber letsencrypt am Laufen und geht problemlos ohne Einschränkungen. Lasse mittlerweile alle Seiten über HTTPS laufen.
                            Es gibt keine Hinweise im Browser oder das man zusätzlich klicken muss um zu Bestätigen, also das was dir Sorge bereitete.

                            Kommentar


                            • #15
                              Ah perfekt, vielen Dank.
                              Habe mich über ein paar bezahlte SSLs mal informieren wollen, der GeoTrust Support meinte folgendes zu mir und ich würde mich freuen wenn ihr mit eurem Fachwissen dieses Sicherheitsbedenken bewerten könntet:
                              With GeoTrust, you can have OV certificates (Organization Validation) or EV certificates (Extended Validation)
                              With Domain Validation certificates, it is easy for a cyber-criminal to mimic your web site and to ask for a Domain Validation certificate himself
                              If your website is called www.my-website.com, he can recreate a similar web site and name it www.mywebsite.net and ask for a DV certificate
                              He can then lure all your clients to his malicious web site and get all their sensitive information,
                              and you (your business) will be the one suffering the consequences...
                              Therefore, DV certificates are not recommended for public-facing web sites, but mainly for server-to-server communication
                              In terms of encryption, the level of security is the same
                              Basically, almost all the fishing websites nowadays have a DV certificate
                              So for your own sake, I would suggest opting at least for Organization Validation certificate if you have a web site accessible to the public
                              It will make your web site more trust worthy to the greater public
                              GeoTrust (which is RapidSSL's parent company) can offer you an Organization Validation (OV) certificate - the Trust Business ID certificate
                              2048 key bit length
                              SHA256 hashing algorithm
                              and RSA and the encryption algorithm
                              Thank you in advance

                              Kommentar

                              Lädt...
                              X