Während den letzten Wochen waren wir sehr bestrebt, bzgl. SSL-Verschlüsselung den höchst möglichen Sicherheitsstandard zu erreichen. Es werden nur noch aktuellste Verschlüsselungsalgorithmen eingesetzt, um PFS (Perfect Forward Secrecy) unter jedem Browser/Client zu gewährleisten. Für sämtliche Dienste von Onlime Webhosting setzten wir neu ein SSL-Zertifikat der höchsten Qualitätsstufe "EV" (Extended Validation Certificate) ein. Als Kunde erkennen Sie bei diesem Zertifikat die hohe Vertrauenswürdigkeit des Services durch den markanten visuellen grünen Adressbalken im Browser. Diesen Schritt gehen bisher nur Banken und Grosskonzerne, wir erachteten dies jedoch trotzdem als sinnvoll.
In den letzten Tagen wurden auch sämtliche SSL-Zertifikate auf den Signaturalgorithmus SHA-2 (SHA256) umgestellt. Die Umstellung betrifft auch sämtliche Kunden, welche eigene SSL-Zertifikate im Einsatz haben – diese wurden bereits informiert. Die Zertifikate mussten von der Registrierungsstelle neu ausgestellt und durch uns installiert werden.
Der neue Signaturalgorithmus wird von jedem einigermassen modernen Browser unterstützt – es sollte also keinerlei Probleme auftreten.
Ihre Website sollte nun im bekannten SSL Server Test von QUALYS SSL LABS mit dem Maximal-Rating "A " abschneiden. Überprüfen Sie dies selbst am Beispiel von www.onlime.ch – oder sofern Sie ein eigenes SSL-Zertifikat bei uns nutzen anhand Ihrer eigenen Website.
Technische Details:
Perfect Forward Secrecy (PFS)
Mittels Perfect Forward Secrecy (PFS) kann verhindert werden, dass eine in der Vergangenheit verschlüsselt aufgezeichnete Kommunikation durch Bekanntwerden des geheimen Schlüssels wieder entschlüsselt werden kann. Wird ein Server kompromittiert, erfährt der Angreifer nur den langfristigen Signaturschlüssel und die Sitzungsschlüssel gerade aktiver Verbindungen. Die Sitzungsschlüssel zurückliegender Verbindungen sind bereits gelöscht und lassen sich nicht mehr rekonstruieren.
Signaturalgorithmus SHA-2
Der bisher noch weitverbreitete Hash-Algorithmus zur Zertifikatsunterzeichnung, SHA-1, wird wegen möglicher Anfälligkeiten zunehmend als nicht mehr sicher genug angesehen. Als Konsequenz daraus wird seitens der Browser-Hersteller die Umstellung auf den neuen Standard SHA-2 forciert:
Google hat für den weit verbreiteten Browser Chrome angekündigt, das Verschlüsselungssymbol in der Adressleiste mit Hinweisen zu einem eingeschränkten Sicherheitslevel zu versehen. Dies erfolgt gestaffelt, beginnend mit Version 39 im November 2014 und geltend für SHA-1-Zertifikate mit Gültigkeit über den 31.12.2015 (anfangs noch 2016) hinaus. Microsoft hat für deren Software, darunter der Browser Internet Explorer, angekündigt, dass sämtliche SHA-1-Zertifikate ab 1.1.2016 als unsicher eingestuft werden.
Aus Sicherheitsüberlegungen und aufgrund der oben erwähnten Forcierungsanstrengungen ist eine schnelle Umstellung zu empfehlen, sofern noch SHA-1-Zertifikate im Einsatz sind. Die Umstellung wird durch den Umstand erschwert, dass verschiedene alte Software-Versionen (Browser sowie Server) nicht mit SHA-2 kompatibel sind. Eine ausführliche Übersicht zur Kompatibilität finden Sie hier.