Verschlüsselung ist in der heutigen Zeit sehr wichtig geworden. Je mehr Internet Traffic verschlüsselt wird, desto aufwendiger und komplizierter wird es, diesen zu überwachen. Beinahe allen selbst gehosteten Diensten (Seafile, OwnCloud, Tiny Tiny RSS, Jabber, OpenVPN…) liegt ein Linux als Betriebssystem zu Grunde. Jeder Dienst, der über das Internet angesprochen wird, sollte über TLS/SSL laufen. Wer sich kein eigenes SSL Zertifikat kaufen möchte, kann entweder zu kostenlosen Diensten wie StartSSL.com zurückgreifen oder sich ein eigenes Zertifikat erstellen.
Kategorie: Webserver
SSL mit Perfect Forward Secrecy unter nginx
SSL ist in den letzten Tagen mal wieder in aller Munde. Dank des Heartbleed Bugs in OpenSSL ist es Angreifern möglich, entschlüsselte Informationen oder sogar den privaten Schlüssel des Zertifikats aus dem Speicher des Webservers zu ziehen, ohne dabei Spuren zu hinterlassen. Sollte der private Schlüssel in fremde Hände gelangen, lässt sich damit einiges an Schindluder treiben. Eine Möglichkeit wäre, bereits aufgezeichnete, jedoch verschlüsselte Kommunikation, nachträglich zu entschlüsseln. Um das zu verhindern, gibt es eine Funktion die sich „Perfect Forward Secrecy“ nennt. PFS nutzt nicht das Public Key Verfahren um einen Sitzungsschlüssel zu erzeugen. Für PFS wird das Diffie-Hellman Verfahren eingesetzt. Hier wird von beiden Seiten (Client/Server) ein gemeinsamer Sitzungsschlüssel erzeugt. Wer’s gern etwas genauer wissen will, kann sich folgenden Wiki Artikel durchlesen Klick