Https?

[rugk]

HSTS wird bei ssllabs nicht angezeigt weil bei mir der Parameter SubDomains fehlt.

Wie kommst du darauf? Funktioniert doch:

 

[Nosxxx]

Letzte mal gings nicht ;D

 

[Delazar]

So, DNSSEC läuft jetzt auch


Die nächste Sache ist DANE

 

[Delazar]

So geschafft, DNSSEC und DANE laufen jetzt:

 

[rugk]

So geschafft, DNSSEC und DANE laufen jetzt

Sehr gut!
So viel Ehrgeiz bezüglich HTTPS/TLS hab ich selten gesehen.

Nur bei DNSSEC/DANE gibt es eben leider noch ein Problem: Aktuell nutzen es sehr wenige Clients, denn standardmäßig validieren Browser keine DNS-Anfragen - dies funktioniert nur mit dem Add-on. Und das nutzen nun mal - logischerweise - wenige.
Aber auch Nutzer die dies nicht nutzen - sollten den bzw. einen ähnlichen Schutz genießen. Dafür gibt es HPKP. Und dass nutzt du offensichtlich noch nicht:

(Hier müsste Public-Key-Pinning ein Header sein)

Zuerst: Es gibt auch einige Fallstricke, denn dies ist u.a. der Grund warum da mindestens ein Ersatz-Zertifikat erstellt (aber nicht zwingend schon von einer CA signiert) werden muss.
Andererseits bietet es Benutzern insofern Schutz, dass einmal abgerufene SSL-Zertifikat beim nächsten Aufruf wieder dem vorherigem (oder einem Backup-Zertifikat) entsprechen muss.
Und genau dieses Prinzip schützt - wie DNSSEC+DANE - davor, dass irgendeine Zertifizierungsstelle ein Zertifikat für deine Domain ausstellen kann und somit den Traffic mitschneiden und entschlüsseln kann.
Für mehr Infos verweise ich mal auf meine vorherigen Links - da ist das Ganze noch sehr viel detaillierter erklärt.

 

[Delazar]

Hallo rugk,

dass wird das nächste Projekt, aber erst nach mein Urlaub.

Viele Grüße
Delazar

 

[Nosxxx]

Ich weis nicht ob dieses HPKP überhaupt ne Zukunft hat. "Header" kann man viel leicheter manipulieren, vielleicht irre ich mich auch. Von diesem HPKP habe ich noch nie was gehört, außer von diesem Beitrag jetzt .

 

[rugk]

"Leichter manipulieren als was?" wäre hier wohl die Frage...

Ja klar kann man Header manipulieren - und zwar in zwei Fällen:

1. Man ist Webseitenadmin bzw. hat Zugriff auf den Webserver. (Diese Möglich kann man hier ja mal ausschließen - man wird seinen eigenen Header nicht zum negativen manipulieren)
2. Oder man fängt die Verbindung ab

Da die Verbindung ja per HTTPS-gesichert ist müsste man diese natürlich erst mal abfangen - sonst wird es nix mit der Manipulation der Header. Diese muss man dann in Echtzeit manipulieren und den HPKP-Header passend ändern. Aber gut, dies ist auch kein großes Problem wenn man die HTTPS-Verbindung abfangen kann.
Dann kann man natürlich einen passenden Header einfügen. Das Problem ist nur, dass dann - wenn der Angriff schlecht ausgeführt wurde - bei nachfolgenden Zugriffen auf die Webseite, ohne dass sie abgefangen wird, eine Fehlermeldung auftaucht.
Auf jeden Fall verhindert HPKP jedoch das Abfangen von Verbindungen, wenn der Client den richtigen HPKP-Header schon erhalten hat. In diesem Fall müsste der Angriff dann schon beim ersten Seitenaufruf geschehen.