Gestern aufgezeichnet, heute entschlüsselt – dieses Angriffszenario gilt es zu verhindern: Ein kompromittierter Schlüssel betrifft auch in der Vergangenheit geführte und verschlüsselt aufgezeichnete Kommunikation.
Mit Konfiguration der Cipher-Reihenfolge für Web- und Mailserver, bei der ein Schlüsselaustausch zwischen Client und Server nach dem Diffie-Hellman-Verfahren bewerkstelligt wird, lässt sich das verhindern. HTTPS-Verbindungen lassen sich mit dem Qualys SSL Server Test prüfen. Ein Check der sicheren IMAPS-Verbindung lässt sich mit
openssl s_client -starttls imap -connect imap.example.com:143
oder
openssl s_client -connect imap.example.com:993
durchführen. Der gewählte Cipher sollte dabei mit ECDHE oder DHE (EDH) beginnen.
Neueste Kommentare