Moin moin!
habt ihr mal die Version von Openssl in der 6.2 angeschaut…
Dank an @ironiemix für den Hinweis.
Jetzt hatte ich mal Zeit mir das genauer anzuschauen.
Die libssl ist sammamal gut abgehangen (genauso übrigens wie das verwendete libgnutls). Da werden noch Crypto-Algorithmen verwendet, die schon seit einiger Zeit als „deprecated“ gelten. Bei der Aushandlung einer Verbindung könnte ein Server zur Verwendung eines schwachen Algorithmus gezwungen werden und die verschlüsselten Daten wären durch den Angreifer entschlüsselbar. Dazu müsste er einen Client-Rechner kapern und die SSL-Verbindungen eines angemeldeten Nutzers belauschen. Wenn aber der Client übernommen werden kann, hat man erstmal ein anderes Problem.
Wie auch immer, versuchen wir also die Dienste auf einem 6.2er-System, die libssl/libgnutls verwenden, so zu konfigurieren, dass sie die sichersten zur Verfügung stehenden Verschlüsselungsverfahren verwenden. Es geht darum, dass die Crypto-Algorithmen RC4, RC5, MD5, SHA1 vermieden werden, und dass nur TLS-Protokoll v1.2 verwendet wird (mehr ist nicht drin).
Die empfohlenen Konfigurationsoptionen der einzelnen Dienste:
-
apache2 (libssl)
/etc/apache2/mods-enabled/ssl.confSSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 SSLHonorCipherOrder off
-
cyrus-imapd (libssl)
/etc/imapd.conftls_cipher_list: kEECDH:+kEECDH+SHA:kEDH:+kEDH+SHA:+kEDH+CAMELLIA:kECDH:+kECDH+SHA:kRSA:+kRSA+SHA:+kRSA+CAMELLIA:!aNULL:!eNULL:!SSLv2:!RC4:!MD5:!DES:!EXP:!SEED:!IDEA:!3DES:!SHA tls_prefer_server_ciphers: 1 tls_versions: tls1_2
-
postfix (libssl)
nur notwendig, wenn man postfix Mail nach extern ausliefern lässt (Kontrolle der Logs empfiehlt sich, um sicherzustellen, dass die empfangenden MTAs die verwendeten Ciphers auch unterstützen)
/etc/postfix/main.cfsmtp_tls_security_level = may smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 smtp_tls_mandatory_ciphers = medium tls_medium_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-HA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 tls_preempt_cipherlist = no
-
slapd (libgnutls)
/etc/ldap/slapd.confTLSCipherSuite TLS_ANON_DH_AES_128_CBC_SHA256:TLS_ANON_DH_AES_256_CBC_SHA256:TLS_DHE_DSS_AES_128_CBC_SHA256:TLS_DHE_DSS_AES_256_CBC_SHA256:TLS_DHE_RSA_AES_128_CBC_SHA256:TLS_DHE_RSA_AES_256_CBC_SHA256:TLS_RSA_NULL_SHA256:TLS_RSA_AES_128_CBC_SHA256:TLS_RSA_AES_256_CBC_SHA256
-
cups (libgnutls)
/etc/cups/cupsd.confSSLOptions MinTLS1.2
Einen Überblick über alle verfügbaren Crypto-Algorithmen und TLS-Protokolle liefern die Befehle:
openssl ciphers
gnutls-cli -l
Ggf. muss das Paket gnutls-bin nachinstalliert werden.
Links:
- https://ssl-config.mozilla.org/
- Securing cyrus-imapd with SSL/TLS on RHEL7 - Red Hat Customer Portal
- OpenLDAP Software 2.4 Administrator's Guide: Using TLS
- cupsd.conf(5)
Dank auch an Thorsten Alteholz für die zugrundeliegende Beratung.
Viele Grüße
Thomas