A propos – SSL & Sicherheit

Wer ganz genau auf meinen Webserver schaut, wird vielleicht bemerkt haben, dass ich jegliche Komprimierung ausgeschaltet habe. Der Grund dafür ist die Nutzung von SSL für SPDY und das hier: http://arstechnica.com/security/2012/09/crime-hijacks-https-sessions/ sowie das hier: https://community.qualys.com/blogs/securitylabs/2012/09/14/crime-information-leakage-attack-against-ssltls

SSL mit Komprimierung birgt das Risiko, daß Angreifer die übertragenen Daten deutlich einfacher entschlüsseln können. Die derzeit einzig zuverlässige Abhilfe ist, jegliche Komprimierung zu vermeiden.

Nur um es klarzustellen: SPDY baut zwar auf SSL auf – aber das Problem ist SSL und die Reduzierung der übertragenen Daten durch Komprimierung. Ohne Komprimierung ist SSL wie auch SPDY gefahrlos nutzbar.

Update 2012-10-31: Das Komprimieren der Inhalte ist nicht so problematisch, da die für Angreifer interessanten Daten, wie Session-Cookies, im Header übertragen werden, der auch bei aktiver Komprimierung der Inhalte nicht komprimiert wird. Ggf. ist sicherzustellen, dass die Konfiguration für mod_ssl in Apache mit der Option SSLCompression off versehen ist. Daher habe ich mich entschlossen, die Komprimierung von Inhalten wieder zu aktivieren und lediglich sicherzustellen, dass die SSL-Komprimierung abgeschaltet ist (siehe auch den Test dazu auf https://www.ssllabs.com/ssltest/analyze.html?d=arnowelzel.de).

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.