https://www.sslplus.de/wiki/index.php?action=history&feed=atom&title=AOSSL_-_SSL-immer-anAOSSL - SSL-immer-an - Versionsgeschichte2026-04-05T21:02:48ZVersionsgeschichte dieser Seite in SSLplusMediaWiki 1.41.0https://www.sslplus.de/wiki/index.php?title=AOSSL_-_SSL-immer-an&diff=1976&oldid=prevIcmichaelis am 10. Februar 2017 um 09:36 Uhr2017-02-10T09:36:43Z<p></p>
<table style="background-color: #fff; color: #202122;" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr class="diff-title" lang="de">
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Nächstältere Version</td>
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Version vom 10. Februar 2017, 11:36 Uhr</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l52">Zeile 52:</td>
<td colspan="2" class="diff-lineno">Zeile 52:</td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>= Verweise =</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>= Verweise =</div></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>* [https://<del style="font-weight: bold; text-decoration: none;">icertificate</del>.<del style="font-weight: bold; text-decoration: none;">eu/</del>de/produkte/ssl-zertifikate.html SSL Zertifikate] für die verschiedensten Einsatzzwecke</div></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>* [https://<ins style="font-weight: bold; text-decoration: none;">www.sslplus</ins>.de/produkte/ssl-zertifikate.html SSL Zertifikate] für die verschiedensten Einsatzzwecke</div></td></tr>
</table>Icmichaelishttps://www.sslplus.de/wiki/index.php?title=AOSSL_-_SSL-immer-an&diff=1209&oldid=prevIceiden: Die Seite wurde neu angelegt: ‚Äû= Warum sollte AOSSL implementiert werde. = Bei einer lediglich zwischenzeitlichen SSL Verschlüsselung, bei der eventuell nur Login oder Transaktionseiten ve‚Ķ‚Äú2015-06-19T09:47:36Z<p>Die Seite wurde neu angelegt: ‚Äû= Warum sollte AOSSL implementiert werde. = Bei einer lediglich zwischenzeitlichen SSL Verschlüsselung, bei der eventuell nur Login oder Transaktionseiten ve‚Ķ‚Äú</p>
<p><b>Neue Seite</b></p><div>= Warum sollte AOSSL implementiert werde. =<br />
<br />
Bei einer lediglich zwischenzeitlichen SSL Verschlüsselung, bei der eventuell nur Login oder Transaktionseiten verschlüsselt werden, kann es durch "[[Sidejacking]]" und [[SSLStrip]] zum Verlust von Kunden vertrauen kommen, wenn vielleicht doch einmal sensible Kundendaten über ungesicherte Verbindungen oder Malware-Angriffe verloren gehen sollten.<br />
<br />
Bei AOSSL werden vom ersten Kontakt der Webseite alle Daten über HTTPS gesicherte Verbindungen übertragen und "Sidejacking" und "SSLStrip" auf diese Weise ausgeschlossen.<br />
<br />
Oft geht es nicht unbedingt um die eigentliche und direkte Datenverbindung zu einer Webseite oder einem Postein- oder Postausgangsserver, die ausgespäht werden könnte. Vielmehr stellen unverschlüsselte oder unsichere Wi-Fi Verbindungen Risiken dar. Man denke hier nur an die öffentlichen Hotspots von Schnellrestaurants oder Flughafenvorhallen.<br />
<br />
= Was muss man tun? =<br />
<br />
==HTTP==<br />
Um AOSSL zu implementieren genügt es, alle eingehenden HTTP Verbindungen beispielsweise direkt bei Kontaktaufnahme auf den verschlüsselten HTTPS Kanal umzuleiten. Um diese Verbindungen zusätzlich abzusichern empfiehlt sich die Verwendung von Perfect Forward Secrecy (PFS).<br />
<br />
== SMTP ==<br />
Im Falle von SMTP ist es mit einer einfachen Weiterleitung leider nicht getan. Man kann die SMTP Dienste aber so konfigurieren, dass bei der Kontaktausnahme eine SSL Verbindung erzwungen wird, statt dies optional anzubieten.<br />
<br />
Bei dem populären SMTP Server Postfix kann dies wie folgt bewerkstelligt werden:<br />
<br />
<code><br />
smtpd_tls_security_level = encrypt<br />
</code><br />
<br />
Leider gibt es noch immer zahlreiche SMTP Server, die diese Option ignorieren und Emails bevorzugt per SMTP unverschlüsselt übertragen. Denen würde an dieser Stelle die Zustellung verweigert, wenn die Software nicht in der Lage ist, eine SSL/TLS Verbindung aufzubauen. Da diese erzwungene Verschlüsselung auch von der RFC2487 als MUST NOT geführt wird, sollte man daher auf:<br />
<br />
<code><br />
smtpd_tls_security_level = may<br />
</code><br />
<br />
ausweichen.<br />
<br />
Um ausgehende SMTP Verbindungen zu verschlüsseln, kann der Parameter<br />
<br />
<code><br />
smtp_tls_security_level = may<br />
</code><br />
<br />
verwendet werden. Es gibt noch eine Reihe weiterer Einstellungsmöglichkeiten, welche in der [http://www.postfix.org/postconf.5.html#smtp_tls_security_level Postfix Dokumentation] erläutert werden.<br />
<br />
== POP3/IMAP ==<br />
<br />
Viele POP3 und IMAP Server bieten ähnliche Optionen. So bietet der IMAP/POP3 Server [http://wiki2.dovecot.org/SSL Dovecot] diese Möglichkeit über folgende Konfigurationsparameter:<br />
<br />
<code><br />
disable_plaintext_auth = yes <br />
ssl = required<br />
</code><br />
<br />
Mit der ersten Option wird die Anmeldung mit Klartextpasswörtern nicht gestattet, so lange keine SSL/TLS Verbindung etabliert wurde. <br />
<br />
Mit der zweiten Option wird ein SSL/TLS Verbindungsaufbau erzwungen. Dies gilt auch für alle Authentifizierungsmechanismen, die keine Klartextpasswörter übertragen (CRAM-MD5 usw.).<br />
<br />
= Verweise =<br />
<br />
* [https://icertificate.eu/de/produkte/ssl-zertifikate.html SSL Zertifikate] für die verschiedensten Einsatzzwecke</div>Iceiden