SSL Cipher Suites

Seit der Snowden-Affäre hat die Verschlüsselung des Webtraffics stark zugenommen. Immer mehr Webseiten verschlüsseln jetzt ihre HTTP Sessions standardmässig (HTTPS). Diese Verbindungen werden mit Cipher Suites sichergestellt. Eine Cipher Suite beschreibt die Kombination aus Authentifizierungsmethode, Technik zum Schlüsselaustausch, Verschlüsselungs-Algorithmus und Hash-Funktion, welche verwendet wird um den Verkehr zu verschlüsseln.

Viele der heutzutage eingesetzten Web-Server unterstützen immer noch veraltete, knackbare Cipher Suites.

Die meist verbreiteten, knackbaren Cipher Suites verwenden das Verschlüsselungsprotokoll SSLv2 oder SSLv3, als Verschlüsselungsverfahren RC4, DES, 3DES oder in seltenen Fällen auch gar keine Verschlüsselung. Wird eine solche Cipher Suite verwendet, kann der Verkehr, mit der nötigen Zeit und finanziellen Mitteln, entschlüsselt und ausgelesen werden.

Die einfachste Methode festzustellen welche Cipher Suites der eigenen Server unterstützt ist über die Webseite von SSLLabs. (https://www.ssllabs.com/ssltest/) Dieser Scan zeigt auf, welche Cipher Suites akzeptiert werden.

Falls Ihr Server veraltete, knackbare Cipher Suites unterstützt, sollten Sie diese schnellstmöglich abschalten und nur noch aktuelle verwenden.

Auf Linux-Systemen befinden sich diese Einstellungen in den SSL-Konfigurationsdateien (häufig ssl.conf) des installierten Web-Servers.

Auf Windows Servern finden Sie die Cipher-Suite-Einstellungen in den Group Policies.

Der Pfad zu den entsprechenden Einstellungen lautet wie folgt:

Computer Configuration -> Administrative Templates -> Network -> SSL Configuration Settings

Dort können die Cipher Suites sortiert, hinzugefügt und entfernt werden. Vor allem Cipher Suits mit folgenden Veschlüsselungs-Algorithmen oder Hash-Verfahren sollten nicht mehr verwendet werden, da diese als geknackt gelten:

  • RC4
  • MD5
  • SSLv2
  • SSLv3
  • TLSv1.0

Das Vornehmen dieser Einstellungen sollte aber nicht ein einmaliges Ereignis bleiben. Daraus soll ein sich wiederholender Prozess generiert werden, bei welchem die verwendeten Cipher Suites regelmässig auf ihre Sicherheit überprüft werden.

Falls Sie die Cipher Suites nicht anpassen kann ein Angreifer Ihre Verschlüsselung knacken und Man-in-the-Middle-Attacken durchführen. Die Besucher Ihrer Webseite bzw, Ihre Kunden könnten ausgehorch, bestohlen oder ebenfalls gehackt werden.

In Ausnahmefällen kann es vorkommen, dass gewisse Hard- oder Software die neueren, als sicher geltenden Cipher Suites nicht unterstützen. Wenn dieser Fall eintrifft muss im Rahmen einer Risikoanalyse entschieden werden, ob das Risiko eingegangen und als knackbar geltende Cipher Suites verwendet werden, oder ob die sicheren Einstellungen forciert und zum Beispiel das verwendete Produkt gewechselt wird.

Informationen zum Autor: Michel Hennet

Schon während meines Studiums an der ZHAW in Winterthur faszinierte mich die IT-Security. Unbedingt wollte ich darum die Stelle als Junior Security Consultant bei der Firma goSecurity bekommen. Schon während meinen ersten Kundenprojekten wurde mir klar: Genau das habe ich gesucht. Aus der Faszination entwickelt sich bei mir eine Leidenschaft. Die Leidenschaft als technischer Spezialist die Geschäftsanforderungen perfekt zu unterstützen. Nur so ist der Begriff des Experten für mich erst legitim. Mein voller Einsatz für Sie befriedigt meine Leidenschaft und meine Ansprüche an mich selbst.