Seite 6 von 6 ... 23456
  1. #51

    AW: PCGH.de mit HTTPS: SSL-Umstellung noch heute

    Zitat Zitat von keinnick Beitrag anzeigen
    Siehst Du doch selbst, dass das nicht ganz ohne ist. Warum also Lets Encrypt nutzen wenn es nicht "out of the box" funktioniert? Hier geht es offensichtlich nicht darum, mal eben einen Webserver auf einem Raspberry Pi abzusichern. Sonst wäre Cloudflare nicht im Spiel.
    Tatsächlich nutzen wir auf unseren Origin-Servern LetsEncrypt - auch die Verbindung vom Origin zum CloudFlare-CDN ist somit also vollständig verschlüsselt. Um die CloudFlare-Zertifikate aber durch LetsEncrypt zu ersetzen, so dass die Clients direkt das LE-Cert zu sehen bekommen, müssten wir regelmäßig das erneuerte LE-Zertifikat auf CloudFlare ersetzen - das ist eine zusätzliche Fehlerquelle, erhöht die Komplexität unnötigerweise und bringt keinerlei Sicherheitsgewinn.

    Hinzu kommt, dass die Nutzung der CloudFlare-Certs auch einen kleinen Geschwindigkeitsvorteil für den ziemlich teuren TLS-Handshake mit sich bringt - da ein wirklich gewaltiger Anteil des Internets mittlerweile durch CloudFlare läuft, besteht eine gute Chance, dass ein Client den hinteren Teil der Cert-Chain bereits kürzlich geprüft hat, zudem ist die Infrastruktur der CloudFlare-Zertifizierungschain besser ausgebaut, und somit kann die Verbindung schneller aufgebaut werden. In einem Geschwindigkeitstest haben wir festgestellt, dass initiale Aufrufe über TLS auf einen unserer Hosts mit LetsEncrypt-Zertifikat direkt ohne CloudFlare je nach Geolocation bis zu 180ms langsamer sind als mit CloudFlare-Cert und trotz des Umwegs über den CloudFlare-Reverse-Proxy. Nicht unbedingt intuitiv, da auch LetsEncrypt-Zertifikate weit verbreitet sind, aber zumindest bei unserem Test spricht einiges für CloudFlare.

    • Bitte einloggen, um diese Anzeige auszublenden.
  2. #52

    AW: PCGH.de mit HTTPS: SSL-Umstellung noch heute

    Zitat Zitat von cht47 Beitrag anzeigen
    Bitte nehmt doch die TLS 1.0 Unterstützung raus, selbst in Unternehmensanwendungen wird das nicht mehr unterstützt. Auch die Cipher Suits sind alles andere als optimal.

    Hier mal ne kleine Hilfe: Generate Mozilla Security Recommended Web Server Configuration Files
    Die SSL-Konfiguration für die Edge-Server obliegt CloudFlare, da haben wir keine Einflussmöglichkeit, die richtet sich allerdings grundsätzlich nach best practice. Nicht einmal die Deutsche Bank oder Wikipedia deaktivieren TLS 1.0.

    Auch die Konfiguration unserer Origin-Server (Traffic von uns zu CloudFlare) richtet sich danach - es gibt leider noch ein paar Bots und Crawler, die wir aus Gründen dulden müssen; als News-Webseite mit eher wenig sensiblem Traffic (wir sind weder eine Bank, noch WikiLeaks, wickeln auch keinerlei Zahlungsverkehr über unsere eigenen Hosts ab) wollen wir außerdem ältere Clients nicht unnötigerweise aussperren. Die TLS 1.3 Suites sind alle sicher, bei TLS 1.2 haben wir eine Präferenz nach Sicherheit und Performance gesetzt - die erste schwächere Suite kommt erst an dritter Stelle, so ziemlich alle für normale User relevanten Clients werden sicher schon vorher bedient, unsichere Suites sind allesamt deaktiviert.

    Viele Grüße

    Markus

    Zur Ergänzung: SSL Server Test: www.pcgameshardware.de (Powered by Qualys SSL Labs) - gibt uns ein A-Rating (wie auch unseren Kollegen bei golem.de), insofern denke ich, dass wir (bzw. CloudFlare für uns) die Hausaufgaben hinsichtlich der Ciphers soweit zufriedenstellend gemacht haben. Wir werden nach erfolgreichem Abschluss der Testphase dann auch HSTS anschalten, was die allgemeine Sicherheit der Verbindung noch weiter erhöht.

    Noch eine Ergänzung zur Verteilung der TLS-Versionen bei pcgameshardware.de über die letzten 24 Stunden:
    TLS 1.0: 27.291 Requests
    TLS 1.1: 3.580 Requests
    TLS 1.2: 4.950.228 Requests
    TLS 1.3: 10.554.392 Requests

    0,18% sind vielleicht nicht viel, aber dennoch ein Grund, das nicht abzuschalten.
    Geändert von Markus Wollny (16.05.2019 um 13:22 Uhr)

  3. #53
    Avatar von cht47
    Mitglied seit
    05.07.2016
    Liest
    PCGH.de (Abo)
    Beiträge
    530

    AW: PCGH.de mit HTTPS: SSL-Umstellung noch heute

    Zitat Zitat von Markus Wollny Beitrag anzeigen
    Die SSL-Konfiguration für die Edge-Server obliegt CloudFlare, da haben wir keine Einflussmöglichkeit, die richtet sich allerdings grundsätzlich nach best practice. Nicht einmal die Deutsche Bank oder Wikipedia deaktivieren TLS 1.0.

    Auch die Konfiguration unserer Origin-Server (Traffic von uns zu CloudFlare) richtet sich danach - es gibt leider noch ein paar Bots und Crawler, die wir aus Gründen dulden müssen; als News-Webseite mit eher wenig sensiblem Traffic (wir sind weder eine Bank, noch WikiLeaks, wickeln auch keinerlei Zahlungsverkehr über unsere eigenen Hosts ab) wollen wir außerdem ältere Clients nicht unnötigerweise aussperren. Die TLS 1.3 Suites sind alle sicher, bei TLS 1.2 haben wir eine Präferenz nach Sicherheit und Performance gesetzt - die erste schwächere Suite kommt erst an dritter Stelle, so ziemlich alle für normale User relevanten Clients werden sicher schon vorher bedient, unsichere Suites sind allesamt deaktiviert.

    Viele Grüße

    Markus

    Zur Ergänzung: SSL Server Test: www.pcgameshardware.de (Powered by Qualys SSL Labs) - gibt uns ein A-Rating (wie auch unseren Kollegen bei golem.de), insofern denke ich, dass wir (bzw. CloudFlare für uns) die Hausaufgaben hinsichtlich der Ciphers soweit zufriedenstellend gemacht haben. Wir werden nach erfolgreichem Abschluss der Testphase dann auch HSTS anschalten, was die allgemeine Sicherheit der Verbindung noch weiter erhöht.

    Noch eine Ergänzung zur Verteilung der TLS-Versionen bei pcgameshardware.de über die letzten 24 Stunden:
    TLS 1.0: 27.291 Requests
    TLS 1.1: 3.580 Requests
    TLS 1.2: 4.950.228 Requests
    TLS 1.3: 10.554.392 Requests

    0,18% sind vielleicht nicht viel, aber dennoch ein Grund, das nicht abzuschalten.
    "Nicht einmal die Deutsche Bank oder Wikipedia deaktivieren TLS 1.0. " Schlechteste Beispiele, Deutsche Bank ist ja... Wikipedia nun ja.. Mediawiki steckt ja auch noch in 2005 fest.

    Wir haben ein A+ Rating, ok wir haben auch höhere Ansprüche an Sicherheit. Allerdings haben wir nicht mal mehr TLS 1.1 aktiv und das obwohl viele Kunden noch den IE nutzen. Best Practice würde ich TLS 1.0 aber wirklich nicht nennen.

    Can I use... Support tables for HTML5, CSS3, etc

    Aber gut ihr seid auf anderer Seite auf Crawler und Bots angewiesen.. denn nur davon können die 27.291 Requests kommen ^^

    Ein A Rating ist aber auch schon Klasse!

    Freut mich auf jeden Fall das die Verschlüsselung funktioniert und hoffe das mein Passwort nicht im Klartext gespeichert ist ^^
    Ryzen 5 1600X • Flare X 32GB@3200 • Crosshair VI Hero • Dark Power Pro 11 650W • NZXT H440 • Samsung C32HG70 • Sapphire Vega 64 Nitro+ • Down: 1G - Up: 50Mbits

  4. #54
    Avatar von ZAM
    No Adblocker!

    Mitglied seit
    17.12.2008
    Ort
    Fürth
    Beiträge
    2.575

    AW: PCGH.de mit HTTPS: SSL-Umstellung noch heute

    Zitat Zitat von cht47 Beitrag anzeigen
    Aber gut ihr seid auf anderer Seite auf Crawler und Bots angewiesen.. denn nur davon können die 27.291 Requests kommen ^^

    Zitat Zitat von cht47 Beitrag anzeigen
    und hoffe das mein Passwort nicht im Klartext gespeichert ist ^^
    Wartungsdrohne
    "Und wenn einer so ein Bug-Loch entdeckt, Granate rein!"
    ASRock X99 Extreme4 | i7-5820K @ 4,2 OC 1.24v | Crucial 4x4 GB DDR4-2400 | 4xSSD,2x2TB HDD | ZOTAC GTX 980 Ti AMP! Edition | ASUS Xonar DGX PCIe | be quiet! Straight Power 10-CM Modular | Fractal R5 Define

  5. #55

    Mitglied seit
    20.04.2010
    Beiträge
    1.950

    AW: PCGH.de mit HTTPS: SSL-Umstellung noch heute

    Zitat Zitat von cht47 Beitrag anzeigen
    hoffe das mein Passwort nicht im Klartext gespeichert ist ^^
    Das klebt als Signatur am HMAC mit dran.
    Laptop: Schenker XMG P507: CPU: i7-7700HQ @2.80GHz | GPU: GeForce GTX 1060 6GB | RAM: 64GB (4x16) DDR4 HyperX Impact @2666Mhz| SSD: Samsung EVO 970 1TB M.2 PCIe 3.0 x4/NVMe | SSD: 2TB Crucial MX500
    Potato: MB: ASUS Prime x470 Pro | CPU: Ryzen7 1700 @3.70GHz vCore 1.175V | GPU: RX 580 Nitro+ SE 8GB | RAM: 2x8GB DDR4 @3333Mhz HyperX Predator| SSD: Crucial MX500 1TB & Samsung 970EVO 500GB | HDD: 1TB WD Black

    • Bitte einloggen, um diese Anzeige auszublenden.
  6. #56

    AW: PCGH.de mit HTTPS: SSL-Umstellung noch heute

    Zitat Zitat von cht47 Beitrag anzeigen
    Wir haben ein A+ Rating, ok wir haben auch höhere Ansprüche an Sicherheit.
    Seit der Aktivierung von HSTS heute ist unser Rating bei SSLLabs nun ebenfalls auf A+.

Seite 6 von 6 ... 23456

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •