Empfehlungen und Regelungen für Administratoren

 

Wir möchten hiermit auf einen sich abzeichnenden Mangel in der Konfiguration von vielen Webservern in der RWTH hinweisen. Es geht dabei um die Einstellungen für den abgesicherten Zugriff auf die Webserver, konkret um Mängel in vielen Zertifikaten und veralteten Protokollen.

Der Hash-Algorithmus SHA-1 gilt als nicht mehr ausreichend sicher. Daher gelten auch Zertifikate die noch SHA-1 verwenden als nicht mehr zuverlässig. Die Firma Google hat nun begonnen in neuen Versionen des Chrome-Browsers Webseiten die Zertifikate mit SHA-1 verwenden als nicht mehr ganz zuverlässig zu markieren [1][2]. Das kann wiederum zur Verunsicherung von unseren Nutzern führen. Aus diesem Grund werden wir im IT Center unsere Zertifikate in den kommenden Wochen und Monaten austauschen. Sie sind eingeladen Ihre Zertifikate auch auf den neuesten Stand zu bringen. Natürlich gilt das auch für Zertifikate im Kontext von anderen Diensten. Es gibt Webseiten mit denen Sie prüfen können, ob Ihr Server SHA-1 verwendet [3]. Weitere Hinweise finden Sie z. B. auf osxdaily [4].

Das zweite Problem bezieht sich auf SSLv3. Mittlerweile können alle aktuellen Browser mit den neueren TLS-Protokollen arbeiten. Die SSL-PRrotokolle sind veraltet und weisen Sicherheitslücken auf. Aus diesem Grund schalten wir auf den Servern des IT Centers SSL komplett ab und bieten nur noch TLS für den Zugriff auf unsere Dienste an. Auch hier können wir aus Zeitgründen nicht sofort für alle Server aktiv werden, aber wir schalten je nach Dringlichkeit und erwarteten Nebenwirkungen die Protokolle nach und nach ab. Auch hier finden sie im Web Hinweise zum Testen der Anfälligkeit und zum Abschalten [6][8].

Ich möchte mich bei dieser Gelegenheit bei allen Kolleginnen und Kollegen bedanken die geholfen, haben die Informationen zusammenzutragen und zu bewerten. Besonders erwähnen möchte ich Jens Hektor, Bernd Kohler, Ekaterina Papachristou, Peter Steves, ....

Guido Bunsen
IT Manager Security im IT Center der RWTH

Quellen und Links:

[1] http://blog.chromium.org/2014/09/gradually-sunsetting-sha-1.html

[2] https://konklone.com/post/why-google-is-hurrying-the-web-to-kill-sha-1

[3] https://shaaaaaaaaaaaaa.com/

[4] http://osxdaily.com/2012/02/09/verify-sha1-hash-with-openssl/

[5] http://arstechnica.com/security/2012/10/sha1-crypto-algorithm-could-fall-by-2018/

[6] http://www.heinlein-support.de/blog/security/deaktivieren-sie-sslv3-apachepostfixdovecot-poodle-bug/

[7] http://www.heise.de/security/meldung/So-wehren-Sie-Poodle-Angriffe-ab-2424327.html

[8] https://www.ssllabs.com/ssltest/