News In eigener Sache: ComputerBase nutzt TLS 1.3, ECDSA und Let's Encrypt

[Dieter Wilke]

ComputerBase unterstützt es bereits, dasselbe gilt für das heutige Release von Chrome 70 und das für nächste Woche geplante Release von Firefox 63.

Mein Firefox hat sich gestern auf diese Version aktualisiert.

 

[Lurtz]

Mein Firefox hat sich gestern auf diese Version aktualisiert.

Dann dürftest du eine Beta oder einen anderen Channel nutzen, der offizielle Release ist erst am 23.10.

 

[Shoryuken94]

Sehr schöner Beitrag! Ist immer nett etwas hinter die Kulissen zu gucken

 

[thanatur]

@Steffen
"indem man die Ausgabe der folgenden beiden cURL-Aufrufe in einer fuschneuen Linux-Distribution vergleicht"

ich habe ein paar Sekunden gerätselt

 

[cbtestarossa]

Vielleicht sollte man mal drüber nachdenken, wieder den Client anstatt den Server die Cipher-Order festlegen zu lassen? Vermutlich tritt man sich dann leider Ciphers ein, die man lieber nicht mehr unterstützen würde.

Kann leicht sein bei älteren Browsern.

 

[luky37]

Die nginx-Entwickler halten "SSL_OP_PRIORITIZE_CHACHA"-Unterstützung leider für einen Hack (https://trac.nginx.org/nginx/ticket/1445). Es kommen nach wie vor viele SoCs ohne AES-NI-Support auf den Markt, oder? Eine kurzen Recherche scheinen zum Beispiel von Qualcomm nur die Topmodelle aus der 800er-Serie AES-NI zu unterstützen (oder liege ich damit falsch?).

Es ist leider schlimmer - und nicht auf den Mobilsektor begrenzt. Chrome benötigt für AES HW Support nicht nur AES-NI, sondern auch AVX. Und selbst topaktuelle Intel Pentium und Celeron Einsteiger CPU's haben kein AVX, Chrome bevorzugt da deshalb Chacha20. Also bei Einsteiger Desktop PCs ...

Ich nehme an im SoC Bereich schaut's noch düsterer aus.

Vielleicht sollte man mal drüber nachdenken, wieder den Client anstatt den Server die Cipher-Order festlegen zu lassen? Vermutlich tritt man sich dann leider Ciphers ein, die man lieber nicht mehr unterstützen würde.

Bei aktuellen Browsern wäre das nicht falsch, das Problem sind hier immer nur die alten Browser und Geräte, die dann Ciphers benutzen die man wirklich nur im allerletzten Fall nehmen würde.


Ein einfacher hack zum einschalten dieses Features unter nginx würde wohl wie folgt ausschauen, in haproxy ist das auch nicht konfigurierbar. Natürlich bräuchte dass zusätzlichen Code damit der Build bei alten OpenSSL libs nicht fehlschlägt.

diff --git a/src/event/ngx_event_openssl.c b/src/event/ngx_event_openssl.c
index 7512913..bae62b7 100644
--- a/src/event/ngx_event_openssl.c
+++ b/src/event/ngx_event_openssl.c
@@ -665,7 +665,7 @@ ngx_ssl_ciphers(ngx_conf_t *cf, ngx_ssl_t *ssl, ngx_str_t *ciphers,
     }

     if (prefer_server_ciphers) {
-        SSL_CTX_set_options(ssl->ctx, SSL_OP_CIPHER_SERVER_PREFERENCE);
+        SSL_CTX_set_options(ssl->ctx, SSL_OP_CIPHER_SERVER_PREFERENCE | SSL_OP_PRIORITIZE_CHACHA);
     }

 #if (OPENSSL_VERSION_NUMBER < 0x10100001L && !defined LIBRESSL_VERSION_NUMBER)

 

[13579]

Ich verstehe davon zwar wenig bis nichts, trotzt der Erläuterung im Artikel und hier im Forum, aber ich habe dennoch mitbekommen das dies sehr zu begrüßen ist, was vor allem die Sicherheit und Geschwindigkeit erhöht.
Ist das eigentlich eine Geldfrage warum dies bei euch (scheinbar) zeitnahe umgesetzt wird, oder hat das andere Gründe warum dies andere Seiten nicht jetzt schon so machen?

 

[luky37]

Ist keine Geldfrage, sondern ein motivierter und kompetenter admin, der sich auch vor einem kompilieren von nginx + openssl nicht fürchtet. Ist halt eine Mehrarbeit einmalig und später dann, wenn Sicherheitsupdates einzuspielen sind (nginx oder openssl).

 

[cbtestarossa]

Naja denk mal dass kommende nginx Versionen da sicher Verbesserungen beinhalten werden.

Und bei den Intel Einsteiger CPUs ist das auch kein Problem wegen AES.
Bei uralten Atoms und schwachen SoCs etc. vielleicht merkt man es.

Was ich mir denke ist ...
Vielleicht ist es trotzdem noch besser ältere knackbare Verschlüsselungen zu verwenden als gar keine.

Und die andere Frage ist mal wieder wie es dann bei Antiviren Programmen aussieht die sich als SSL Proxy dazwischen hängen.

 

[Ice_Dundee]

Ausgevorzüglich!

 

[textract]

Finde ich super,ich begrüße den Schritt.
Vor allem aber finde ich den Schritt zu ecdsa echt gut.
Ich versuche bei uns im Rechenzentrum schon seit Menschengedenken von rsa auf ecdsa zu wechseln, das interessiert nur leider ganze Völkerstämme nicht, lediglich bei uns im AIX Bereich sind wir auf ecdsa gewechselt.

 

[Steffen]

Ein einfacher hack zum einschalten dieses Features unter nginx würde wohl wie folgt ausschauen [...]

Ich hatte eben einen anderen Patch dafür gefunden: https://gitlab.com/buik/openssl/blo.../OpenSSL1.1.1-prioritize-chacha-feature.patch

Allerdings aktiviert der andere Patch das "Prioritize-ChaCha"-Flag nicht in nginx sondern in OpenSSL und somit potenziell auch für andere Anwendungen. Da ist dein Patch weniger invasiv und so einfach, dass ich mir zutraue beurteilen zu können, dass da nichts mit schiefgehen kann. Und auch ihn an neue nginx-Versionen anzupassen sollte kein Problem sein.

Ich habe den Patch nach einem kurzen Test auf unserem Entwicklungsserver daher jetzt ausnahmsweise direkt in den Live-Betrieb übernommen (falls es doch Probleme geben sollte, kann ich ihn binnen weniger Minuten wieder kicken) und ChaCha in unserer Cipher-Order weiter nach hinten geschoben. SSLLabs meldet jetzt: "This server prefers ChaCha20 suites with clients that don't have AES-NI (e.g., Android devices)". (https://www.ssllabs.com/ssltest/analyze.html?d=www.computerbase.de&s=87.230.75.2)

Vielen Dank!

 

[CrunchTheNumber]

Finde die Webseite von der Technik und vom Design her vorbildlich. Weiter so!

Gruß,
CTN

 

[Miuwa]

Erstmal vielen Dank. Zum einen für die schnelle Unterstützung moderner Sicherheitsmechanismen, zum anderen dafür, dass CB bei gedrosselter mobil Verbindung einer der wenigen Seiten ist, die man noch ansurfen kann.

Noch zwei technische Fragen:

• Unterstütz Windows (und damit EDGE) bereits TLS1.3?
• Bis zu welcher Protokollstufe geht CB denn runter, wenn der Client keine modernen Verfahren unterstützt? (EDIT: Sorry, bereits beantwortet).

 

[Steffen]

@Miuwa Noch unterstützt Edge kein TLS 1.3, aber Microsoft daran: https://developer.microsoft.com/en-us/microsoft-edge/platform/status/tls13/

Wer sich fragt, welche TLS-Versionen der eigene Browser unterstützt, der kann das hier testen: https://www.ssllabs.com/ssltest/viewMyClient.html

 

[Der-Orden-Xar]

Das - ging schnell.

@luky37
Ja das schon, aber gibt es dann bei TLS 1.3 noch ne bessere Verschlüsselung?
Das meinte ich.

Das was Unter TLS 1.2 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 und TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 heißt, heißt unter TLS 1.3 einfach TLS_AES_128_GCM_SHA256.
Anderer Name, aber es steckt das gleiche dahinter: AES128 Verschlüsselte Daten mit GCM Mode. Der keyexchange ist bei TLS 1.3 aber kein teil der ChipherSuit mehr, daher anerer Name und nur ein anstatt zwei Sachen.
Die 256er Variante und Chacha entsprechend, Theoretisch steckt auch noch TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 mit drin, wen DHE als Keyexchange zugelassen ist.

Ansonsten zeichnet sich TLS 1.3 nicht primär durch gesteigerte maximale Sicherheit aus, sondern durch gesteigerte minimale Sicherheit: Zwang zu PFS, Zwang zu AHED, etc

Winfuture hatte es vor kurzem auch (noch/wieder) nicht. Scheinbar rennts nun.

Du meisnt die Desktopvariante. Mobil ging schon länger, inetressant, das die doch mal endlich es geschafft haben einen schritt weiter zu gehen.

Unterstütz Windows (und damit EDGE) bereits TLS1.3?
Bis zu welcher Protokollstufe geht CB denn runter, wenn der Client keine modernen Verfahren unterstützt?

Schau dir mal den SSLLABS-Scan an

Edge 15 ( müsste Win10 1704 sein) unterstützt es nicht.
Computerbase unterstützt bis runter zu TLS 1.0, also das was derzeit quasi-Standard ist, wen man auf Kompatibilität achten muss.

Unter 1804 kann Edge auch kein TLS1.3, ich meine unter 1809 auch nicht, habe aber kein System gerade, auf dem ich das testen möchte (bzw keine Lsut zu googeln^^).

 

[cbtestarossa]

@Steffen
Bin nun nicht sicher aber meinte Luky nicht dass an 2ter Stelle CHACHA20POLY stehen sollte?.

Und wenn ich nun im Browser schaue steht auf einmal AES128 und ich bin fast sicher dass meine CPU das nicht unterstützt.
Und vorher hatte ich ja auch CHACHA20POLY. (TLS1.2)
Also wie ist das nun angedacht?

 

[Steffen]

Was für eine CPU hast du denn genau?

Und wie lautet bei dir die Reihenfolge der "Cipher Suites" unten auf https://www.ssllabs.com/ssltest/viewMyClient.html?

 

[cbtestarossa]

Habs auch mit CPU-Z auch gecheckt. Core2Quad6600 momentan in dem PC. Sicher kein AES.

Im FF62 und Palemoon selbe Anzeige bei dem ClientTest.
Plappert aber was von ner Firewall und TLS1.3 Unterstützung.
Kann nicht stimmen. Geblockt hab ich auch nichts.

Und auch bei leerem neuen Profil ohne Addons selbe in grün.
Denk da pfuschen die Browser rein.
Warum der aber meckert wegen Firewall ist mir ein Rätsel. Alles ausgeschaltet.

 

[Der-Orden-Xar]

@Steffen
Bin nun nicht sicher aber meinte Luky nicht dass an 2ter Stelle CHACHA20POLY stehen sollte?.

Ob an 2. oder 3. Stelle macht keinen Unterschied.
AES128_GCM ist das Mittel der Wahl, da (korrekt implementiert) ebenso wie AES256 und ChaCha20 als unknackbar (im Sinne von: in relevanter zeit) gilt und schneller ist als AES256.
Daher AES128_GCM > CHACHA20 mit entsprechendem Schalter für CPUs ohne AES-NI und AES256-GCM irgendwo hinter AES128. Ob nun vor oder hinter ChaCha ist da egal.

Wichtig ist halt, das die Ciphersuits mit AEAD (Ja, AEAD, nicht AHED wie oben geschrieben, irgendwann lern ich das nochmal) und PFS oben stehen, da das die sind, die derzeit als definitiv sicher (vgl die in TLS 1.3 erlaubten) gelten und die anderen als "sicher, ja aber".
Das heißt nicht, das alles andere Unsicher ist, nur gibt oder gab es ein paar Schwächen.

Für genaueres verweise ich auf Experten in dem Thema.

Habs auch mit CPU-Z auch gecheckt. Core2Quad6600 momentan in dem PC. Sicher kein AES.

Nope, kein AES-NI, laut WIki waren die ersten Intel mit AES-NI

• Westmere based processors, specifically:
  • Westmere-EP (Xeon 56xx) (a.k.a. Gulftown Xeon 5600-series DP server model) processors.
  • Clarkdale processors (except Core i3, Pentium and Celeron).
  • Arrandale processors (except Celeron, Pentium, Core i3, Core i5-4XXM).

Plappert aber was von ner Firewall und TLS1.3 Unterstützung.
Kann nicht stimmen. Geblockt hab ich auch nichts.

Und auch bei leerem neuen Profil ohne Addons selbe in grün.
Denk da pfuschen die Browser rein.
Warum der aber meckert wegen Firewall ist mir ein Rätsel. Alles ausgeschaltet.

Da ich deine anderen Beiträge hier zum Teil kenne:
Ich hätte auf umatrix oder ähnliches getippt, manchmal klappt da aber einfach bei der Erkennung nicht. War bei mir gerade auch erst im 2. Anlauf korrekt erkannt.