AOSSL - SSL-immer-an
Warum sollte AOSSL implementiert werde.
Bei einer lediglich zwischenzeitlichen SSL Verschlüsselung, bei der eventuell nur Login oder Transaktionseiten verschlüsselt werden, kann es durch "Sidejacking" und SSLStrip zum Verlust von Kunden vertrauen kommen, wenn vielleicht doch einmal sensible Kundendaten über ungesicherte Verbindungen oder Malware-Angriffe verloren gehen sollten.
Bei AOSSL werden vom ersten Kontakt der Webseite alle Daten über HTTPS gesicherte Verbindungen übertragen und "Sidejacking" und "SSLStrip" auf diese Weise ausgeschlossen.
Oft geht es nicht unbedingt um die eigentliche und direkte Datenverbindung zu einer Webseite oder einem Postein- oder Postausgangsserver, die ausgespäht werden könnte. Vielmehr stellen unverschlüsselte oder unsichere Wi-Fi Verbindungen Risiken dar. Man denke hier nur an die öffentlichen Hotspots von Schnellrestaurants oder Flughafenvorhallen.
Was muss man tun?
HTTP
Um AOSSL zu implementieren genügt es, alle eingehenden HTTP Verbindungen beispielsweise direkt bei Kontaktaufnahme auf den verschlüsselten HTTPS Kanal umzuleiten. Um diese Verbindungen zusätzlich abzusichern empfiehlt sich die Verwendung von Perfect Forward Secrecy (PFS).
SMTP
Im Falle von SMTP ist es mit einer einfachen Weiterleitung leider nicht getan. Man kann die SMTP Dienste aber so konfigurieren, dass bei der Kontaktausnahme eine SSL Verbindung erzwungen wird, statt dies optional anzubieten.
Bei dem populären SMTP Server Postfix kann dies wie folgt bewerkstelligt werden:
smtpd_tls_security_level = encrypt
Leider gibt es noch immer zahlreiche SMTP Server, die diese Option ignorieren und Emails bevorzugt per SMTP unverschlüsselt übertragen. Denen würde an dieser Stelle die Zustellung verweigert, wenn die Software nicht in der Lage ist, eine SSL/TLS Verbindung aufzubauen. Da diese erzwungene Verschlüsselung auch von der RFC2487 als MUST NOT geführt wird, sollte man daher auf:
smtpd_tls_security_level = may
ausweichen.
Um ausgehende SMTP Verbindungen zu verschlüsseln, kann der Parameter
smtp_tls_security_level = may
verwendet werden. Es gibt noch eine Reihe weiterer Einstellungsmöglichkeiten, welche in der Postfix Dokumentation erläutert werden.
POP3/IMAP
Viele POP3 und IMAP Server bieten ähnliche Optionen. So bietet der IMAP/POP3 Server Dovecot diese Möglichkeit über folgende Konfigurationsparameter:
disable_plaintext_auth = yes
ssl = required
Mit der ersten Option wird die Anmeldung mit Klartextpasswörtern nicht gestattet, so lange keine SSL/TLS Verbindung etabliert wurde.
Mit der zweiten Option wird ein SSL/TLS Verbindungsaufbau erzwungen. Dies gilt auch für alle Authentifizierungsmechanismen, die keine Klartextpasswörter übertragen (CRAM-MD5 usw.).
Verweise
- SSL Zertifikate für die verschiedensten Einsatzzwecke