M@rsupil@mi
Vice Admiral
- Registriert
- Jan. 2013
- Beiträge
- 6.486
Feine Sache. Wirklich klasse, dass solche Sicherheitsthemen / -Aspekte hier so weit oben auf der Prioritätenliste stehen. 
News In eigener Sache: ComputerBase nutzt jetzt durchgehend HTTPS und HTTP/2
- Ersteller Steffen
- Erstellt am
- Zur News: In eigener Sache: ComputerBase nutzt jetzt durchgehend HTTPS und HTTP/2
iophobia
Cadet 4th Year
- Registriert
- Sep. 2012
- Beiträge
- 72
Steffen schrieb:
Lange kann es nicht mehr dauern mit der Unterstützung von 0-RTT, jetzt da nginx mit Support für TLS1.3 veröffentlicht wurde. Wenn OpenSSL dann offiziell nachzieht, seid ihr sicher die Ersten (und Einzigen), die es implementieren.
- Registriert
- März 2001
- Beiträge
- 17.379
Auf unserem Entwicklungsserver läuft seit heute nginx 1.13 mit einer Vorabversion von OpenSSL 1.1.1 und TLS 1.3 (Draft 18). Zum jetzigen Zeitpunkt unterstützt allerdings noch kein Browser standardmäßig TLS 1.3 (also ohne Eingriffe auf chrome://config bzw. about:config), weil bei manchen Nutzern "tolle" Enterprise-Middleware dazwischenfunkt (https://bugs.chromium.org/p/chromium/issues/detail?id=694593). Es besteht also kein Druck, mit einer Vorabversion von OpenSSL 1.1.1 im Produktionsbetrieb zu hantieren. Und eigentlich ist TLS 1.3 ja auch noch gar nicht fertig, sondern steht bei Draft 19. Ein paar (hoffentlich wenige) Monate müssen wir uns noch gedulden.
Der-Orden-Xar
Commander
- Registriert
- Okt. 2007
- Beiträge
- 2.842
Schön zu hören, dass dir euch nicht mit dem einmaligen Ergebnis zufrieden gebt, sondern auch weiterhin eine gute Config bieten wollt
Mal aus dem Bugzilla mit zwei kleinen Kommentaren dazu.
In freier Wildbahn ist mir noch kein Problem damit aufgefallen, da ist kein TLS 1.0 schlimmer^^
Aber ich bin weder repräsentativ noch hänge ich hinter irgendeinem MitM (hoffe ich^^)
Mal aus dem Bugzilla mit zwei kleinen Kommentaren dazu.
In freier Wildbahn ist mir noch kein Problem damit aufgefallen, da ist kein TLS 1.0 schlimmer^^
Aber ich bin weder repräsentativ noch hänge ich hinter irgendeinem MitM (hoffe ich^^)
- Registriert
- März 2001
- Beiträge
- 17.379
Wir haben heute ein neues TLS-Zertifikat eingespielt bzw. das unser altes TLS-Zertifikat um 1 Jahr verlängert. Davon sollte niemand etwas mitbekommen. Weil HTTPS hier in den vergangenen Wochen Thema war, dachte ich sage ich kurz Bescheid.
Wir waren übrigens kurz davor, auf Let's Encrypt umzusteigen. Weil der Browser-Support von Let's Encrypt sehr gut aber nicht perfekt ist, haben wir uns dann aber doch dagegen entschieden. Konkret hätten wir durch einen Umstieg auf Let's Encrypt die Nutzer von BlackBerry OS 10.3.2 ausgesperrt. Zwar gibt es schon BlackBerry OS 10.3.3 mit Let's-Encrypt-Support, aber das wird zum Beispiel von der Telekom noch nicht ausgerollt.
Unser Let's-Encrypt-Setup mit automatischer Erneuerung der TLS-Zertifikate steht aber seit Sommer 2016 und funktioniert problemlos, sodass wir nächstes Jahr umsteigen können, wenn sich die Umstände bis dahn geändert haben.
Wir waren übrigens kurz davor, auf Let's Encrypt umzusteigen. Weil der Browser-Support von Let's Encrypt sehr gut aber nicht perfekt ist, haben wir uns dann aber doch dagegen entschieden. Konkret hätten wir durch einen Umstieg auf Let's Encrypt die Nutzer von BlackBerry OS 10.3.2 ausgesperrt. Zwar gibt es schon BlackBerry OS 10.3.3 mit Let's-Encrypt-Support, aber das wird zum Beispiel von der Telekom noch nicht ausgerollt.
Unser Let's-Encrypt-Setup mit automatischer Erneuerung der TLS-Zertifikate steht aber seit Sommer 2016 und funktioniert problemlos, sodass wir nächstes Jahr umsteigen können, wenn sich die Umstände bis dahn geändert haben.
DeusoftheWired
Fleet Admiral
- Registriert
- Juni 2009
- Beiträge
- 14.091
Andere Seiten bekommen nicht mal eine TLS-Instanz auf die Reihe und ihr haltet euch zwei parallel – wieder mal Hut ab vor so viel Leistung! An euch können sich etliche deutsche Seiten ein Beispiel nehmen. 
iophobia
Cadet 4th Year
- Registriert
- Sep. 2012
- Beiträge
- 72
Hallo Steffen,
das Mozilla Observatory hat euch unlängst wegen eurer CSP-Implementierungen wieder auf ein B+ abgestuft. Vielleicht solltet ihr euch dessen mal annehmen.
https://observatory.mozilla.org/analyze.html?host=www.computerbase.de
Grüße,
io
das Mozilla Observatory hat euch unlängst wegen eurer CSP-Implementierungen wieder auf ein B+ abgestuft. Vielleicht solltet ihr euch dessen mal annehmen.
https://observatory.mozilla.org/analyze.html?host=www.computerbase.de
Grüße,
io
- Registriert
- März 2001
- Beiträge
- 17.379
Dass dort früher die reine Existenz einer CSP als super gewertet wurde war auch etwas seltsam.
Auf Seiten mit Anzeigen müssen wir leider eine extrem lasche CSP nutzen, weil die Anzeigen mit allem anderen nicht klar kommen. Auf Seiten ohne Anzeigen hingegen nutzen wir eine sehr strikte CSP, also zum Beispiel auf https://www.computerbase.de/pro/ oder wenn man als Nutzer von ComputerBase Pro eingeloggt ist generell auf allen redaktionellen Seiten (also überall außerhalb des Forums), weil dann ja keine Werbebanner existieren.
Mit dem Mozilla Observatory kann man offenbar leider nur die Startseite scannen. Aber du kannst zum Beispiel mit SecurityHeaders.io nachvollziehen, dass wir auf Seiten ohne Anzeigen eine sehr viel striktere CSP nutzen.
Seiten mit Anzeigen:
Seiten ohne Anzeigen (insbesondere wird "script-src" eingeschränkt):
Ich bin mir sicher, dass diese CSP beim Mozilla Observatory nicht abgewertet würde. Leider können wir sie wie gesagt auf Seiten mit Anzeigen nicht nutzen, sondern nur auf den Seiten, die generell keine Anzeigen haben (Abo-Seite, Impressum, Backend-Seiten, ...), und bei Nutzern von ComputerBase Pro.
Wenn es irgendwann technisch möglich ist, dann werden wir die striktere CSP natürlich an alle Nutzer ausliefern (wie bei HTTPS, das wir auch erst exklusiv für Pro-Nutzer eingeführt hatten und dann als die Anzeigen HTTPS-kompatibel waren wie versprochen für alle freigeschaltet haben). Ich befürchte nur das könnte noch dauern, weil eine CSP-Einführung über die Anzeigen-Provider und deren Dienstleister hinweg viel schwieriger zu vermitteln und umzusetzen sein dürfte als "aktiviert endlich HTTPS" (und schon das hat Jahre gedauert und es nutzen bei weitem noch immer nicht alle News-Websites HTTPS).
Auf Seiten mit Anzeigen müssen wir leider eine extrem lasche CSP nutzen, weil die Anzeigen mit allem anderen nicht klar kommen. Auf Seiten ohne Anzeigen hingegen nutzen wir eine sehr strikte CSP, also zum Beispiel auf https://www.computerbase.de/pro/ oder wenn man als Nutzer von ComputerBase Pro eingeloggt ist generell auf allen redaktionellen Seiten (also überall außerhalb des Forums), weil dann ja keine Werbebanner existieren.
Mit dem Mozilla Observatory kann man offenbar leider nur die Startseite scannen. Aber du kannst zum Beispiel mit SecurityHeaders.io nachvollziehen, dass wir auf Seiten ohne Anzeigen eine sehr viel striktere CSP nutzen.
Seiten mit Anzeigen:
Code:
frame-ancestors 'none'; upgrade-insecure-requests; report-uri /api/csp-reportSeiten ohne Anzeigen (insbesondere wird "script-src" eingeschränkt):
Code:
default-src 'none'; style-src 'self' 'unsafe-inline'; script-src 'self' https://*.ioam.de https://iam-agof.irquest.com https://www.google-analytics.com; font-src 'self'; img-src 'self' data: https://pics.computerbase.de https://qs.ioam.de https://iam-agof.irquest.com https://www.google-analytics.com; child-src 'self' https://*.ioam.de; frame-src 'self' https://*.ioam.de; connect-src 'self' https://irqs.ioam.de https://www.google-analytics.com; manifest-src 'self'; form-action 'self'; frame-ancestors 'none'; report-uri /api/csp-reportIch bin mir sicher, dass diese CSP beim Mozilla Observatory nicht abgewertet würde. Leider können wir sie wie gesagt auf Seiten mit Anzeigen nicht nutzen, sondern nur auf den Seiten, die generell keine Anzeigen haben (Abo-Seite, Impressum, Backend-Seiten, ...), und bei Nutzern von ComputerBase Pro.
Wenn es irgendwann technisch möglich ist, dann werden wir die striktere CSP natürlich an alle Nutzer ausliefern (wie bei HTTPS, das wir auch erst exklusiv für Pro-Nutzer eingeführt hatten und dann als die Anzeigen HTTPS-kompatibel waren wie versprochen für alle freigeschaltet haben). Ich befürchte nur das könnte noch dauern, weil eine CSP-Einführung über die Anzeigen-Provider und deren Dienstleister hinweg viel schwieriger zu vermitteln und umzusetzen sein dürfte als "aktiviert endlich HTTPS" (und schon das hat Jahre gedauert und es nutzen bei weitem noch immer nicht alle News-Websites HTTPS).
Zuletzt bearbeitet:
Google entzieht Symantec 2018 das Vertrauen
https://www.heise.de/security/meldu...ieht-Symantec-2018-das-Vertrauen-3828578.html
Computerbase hat doch auch das Zertifikat von GeoTrust Inc.
Werdet ihr zu Let's Encrypt wechseln?
https://www.heise.de/security/meldu...ieht-Symantec-2018-das-Vertrauen-3828578.html
Computerbase hat doch auch das Zertifikat von GeoTrust Inc.
Werdet ihr zu Let's Encrypt wechseln?
- Registriert
- März 2001
- Beiträge
- 17.379
Unser aktuelles Zertifikat von GeoTrust (Symantec) ist noch bis Ende Mai 2018 gültig und wird bis dahin auch von Chrome und anderen Browsern akzeptiert werden. Warum wir bei der letzten Verlängerung im Mai 2017 noch nicht auf Let's Encrypt umgestiegen sind, hatte ich ein paar Beiträge weiter oben erklärt (Browser-Support): https://www.computerbase.de/forum/t...ttps-und-http-2.1595421/page-11#post-20037054
Unser Let's-Encrypt-Setup steht aber, schon seit über einem Jahr werden alle 60 Tage parallel zu unserem GeoTrust-Zertifikat vollautomatisch unsere Let's-Encrypt-Zertifikate erneuert. Wir könnten also jederzeit durch Änderung einer Zeile in der nginx-Konfiguration auf Let's Encrypt umsteigen. Aufgrund des minimal schlechteren Browser-Supports von Let's Encrypt werden wir damit aber noch etwas warten.
Aktuell ist der Plan, im Frühjahr 2018 umzusteigen.
Unser Let's-Encrypt-Setup steht aber, schon seit über einem Jahr werden alle 60 Tage parallel zu unserem GeoTrust-Zertifikat vollautomatisch unsere Let's-Encrypt-Zertifikate erneuert. Wir könnten also jederzeit durch Änderung einer Zeile in der nginx-Konfiguration auf Let's Encrypt umsteigen. Aufgrund des minimal schlechteren Browser-Supports von Let's Encrypt werden wir damit aber noch etwas warten.
Aktuell ist der Plan, im Frühjahr 2018 umzusteigen.
- Registriert
- März 2001
- Beiträge
- 17.379
Seit wenigen Minuten nutzt ComputerBase ein SSL/TLS-Zertifikat von Let's Encrypt.
Der nicht ganz perfekte Browser-Support, der uns letztes Jahr noch vom Wechsel abgehalten hat (siehe oben), ist jetzt kein Problem mehr. BlackBerry OS 10.3.2 ist zugunsten von Version 10.3.3 (oder anderen Betriebssystemen) fast komplett aus unserem User-Agent-Log verschwunden. Darüber hinaus hat uns Let's Encrypt den Wechsel durch die Unterstützung von Wildcard-Zertifikaten versüßt.
Neu ist zudem, dass unser Server halbwegs modernen Browser jetzt ein ECDSA- anstatt RSA-Zertifikat anbietet, was kleine Vorteile in puncto Größe und Performance bringen soll: https://scotthelme.co.uk/ecdsa-certificates/
Der nicht ganz perfekte Browser-Support, der uns letztes Jahr noch vom Wechsel abgehalten hat (siehe oben), ist jetzt kein Problem mehr. BlackBerry OS 10.3.2 ist zugunsten von Version 10.3.3 (oder anderen Betriebssystemen) fast komplett aus unserem User-Agent-Log verschwunden. Darüber hinaus hat uns Let's Encrypt den Wechsel durch die Unterstützung von Wildcard-Zertifikaten versüßt.
Neu ist zudem, dass unser Server halbwegs modernen Browser jetzt ein ECDSA- anstatt RSA-Zertifikat anbietet, was kleine Vorteile in puncto Größe und Performance bringen soll: https://scotthelme.co.uk/ecdsa-certificates/
LieberNetterFlo
Rear Admiral
- Registriert
- Feb. 2006
- Beiträge
- 5.854
nice hab auch gleich mal das Wildcard Zertifikat bei mir aktiviert!
Wie entscheidet ihr welche Ciphers ihr anbietet? Ich halte mich bisher an die hier von Mozilla: https://mozilla.github.io/server-side-tls/ssl-config-generator/?server=haproxy (habe HAProxy als Frontend im Einsatz)
hab auch gleich mal das Wildcard Zertifikat bei mir aktiviert! Wie entscheidet ihr welche Ciphers ihr anbietet? Ich halte mich bisher an die hier von Mozilla: https://mozilla.github.io/server-side-tls/ssl-config-generator/?server=haproxy (habe HAProxy als Frontend im Einsatz)
LieberNetterFlo
Rear Admiral
- Registriert
- Feb. 2006
- Beiträge
- 5.854
Folgefrage: mit welchem Script erzeugt ihr euer Zertifikat? hatte bisher getssl im Einsatz, das kommt wohl mit Wildcard noch nicht so ganz zurecht, bin mal temporär auf acme.sh umgestiegen, leider kann das nicht direkt eine kombinierte .pem Dateien bauen wie sie HAProxy benötigt, muss also ein post-hook anhängen
- Registriert
- März 2001
- Beiträge
- 17.379
Ich habe den ACMEv2-Branch von acme-tiny etwas umgebaut, sodass Wildcard-Zertifikate mit der DNS-API von INWX (unser Domain- und DNS-Provider) ausgestellt werden können.
Ich habe das mal hier hochgeladen: https://github.com/steffenweber/acme-tiny/commit/1d00bf3be035e18849d5d6e17bf9aadfa4e39bd1
Ich habe das mal hier hochgeladen: https://github.com/steffenweber/acme-tiny/commit/1d00bf3be035e18849d5d6e17bf9aadfa4e39bd1
