Webseiten mit HTTPS bereitstellen und mit HSTS und HPKP sichern
Heutzutage werden immer mehr Kommunikationsverbindungen im Internet mit TLS/SSL-Verschlüsselung geschützt. Die Verschlüsselung hilft, die Vertraulichkeit der zwischen Sender und Empfänger übertragenen Daten zu schützen und sollte daher standardmäßig aktiviert sein. Doch bereitet der Einsatz von TLS/SSL-Verschlüsselung immer noch vielen Betreibern von Webseiten, Web-, Mail- und Chat-Servern Kopfschmerzen.
Zu undurchsichtig scheint der Dschungel aus Zertifizierungsstellen, Zertifikaten, Zertifikatsanfragen, öffentlichen und privaten Schlüsseln. Verschiedenste Validierungsverfahren und Dateiformate für Zertifikate tragen nicht gerade dazu bei, den Durchblick zu behalten. Bereits die Erstellung einer Zertifikatsanfrage gerät dabei häufig genug zu einem Problem. Die Folge: Immer noch wird viel zu häufig auf den Einsatz von TLS/SSL-Verschlüsselung verzichtet.
Dieser Vortrag führt in das Thema TLS-/SSL-Verschlüsselung ein, indem er zu Beginn erläutert worum es sich bei einem TLS-/SSL-Zertifikat eigentlich handelt und wie man Hilfe von OpenSSL sowohl einen privaten Schlüssel als auch eine Zertifikatsanfrage (CSR) generiert, um diese an eine Zertifizierungsstelle (CA) zu übertragen.
Anschließend wird auf die Schwächen der heute üblichen Zertifikatsvergabe in der Welt der CAs eingegangen. Abschließend zeigt der Vortrag Wege auf, eine Webseite mit HTTP Strict Transport Security (RFC 6797)und der Public Key Pinning Extension for HTTP (RFC 7469) gegen diese Schwächen zu härten.
Jörg Kastning
Seit 15 Jahren bin ich Sysadmin mit Leib und Seele. In dieser Zeit habe ich bereits viele verschiedene Bereiche der IT kennen gelernt. Ich bezeichne mich selbst gern als Generalist oder Universal-Dilettanten. Halt jemand, der vieles kann, jedoch nichts davon in Perfektion.
Linux und freie Software sind für mich Beruf und Hobby. Darüber hinaus beschäftige ich mich beruflich noch mit Automatisierung, Firewalls, Loadbalancing und Virtualisierung. Ich bin sicherlich kein Container-Experte, sondern eher ein Einäugiger unter den Blinden, welcher letzteren die Augen öffnen möchte.