Cipher Suites: Die Algorithmen der TLS-Kryptografie
Wenn ein Browser eine Verbindung zu einem HTTPS-Server herstellt, ist der erste Schritt der TLS-Handshake: Client und Server verhandeln, welche Kombination kryptografischer Algorithmen (Cipher Suite) fuer die Verbindung verwendet werden soll. Eine Cipher Suite besteht aus vier Algorithmen: dem Schluesselaustausch (wie ECDHE, das Forward Secrecy gewaehrleistet), der Authentifizierung (RSA oder ECDSA zur Ueberpruefung der Serveridentitaet), der symmetrischen Verschluesselung (AES-256-GCM zur Datenverschluesselung) und der Hash-Funktion (SHA384 fuer die Integritaet). Die Sicherheit der Verbindung haengt vollstaendig von der Staerke dieser Algorithmen ab.
Der TLS Cipher Test analysiert die vom Server waehrend des Handshakes angebotenen Cipher Suites und ueberprueft unterstuetzte TLS-Versionen, Cipher-Praeferenzreihenfolge, Vorhandensein schwacher oder veralteter Cipher und Unterstuetzung erweiterter Funktionen wie Forward Secrecy. Ein gut konfigurierter Server bietet nur moderne und sichere Cipher Suites an, mit TLS 1.2 und 1.3 als einzig unterstuetzten Versionen und Forward Secrecy bei allen Verbindungen.
Sichere vs. veraltete Cipher
Cipher, die unbedingt zu vermeiden sind: RC4 (gebrochen), DES und 3DES (schwach), MD5 (bekannte Kollisionen), Export-Cipher (absichtlich geschwaechte Kryptografie) und jeder Cipher ohne Forward Secrecy (direkter RSA-Schluesselaustausch). Empfohlene Cipher verwenden ECDHE fuer den Schluesselaustausch (Forward Secrecy), AES-GCM oder ChaCha20-Poly1305 fuer die Verschluesselung und SHA256+ fuer das Hashing. TLS 1.3 vereinfacht die Wahl: Es bietet nur sichere Cipher Suites by Design an.
TLS richtig konfigurieren
Fuer Nginx, Apache und andere Webserver bietet Mozilla den SSL Configuration Generator, der optimale Konfigurationen fuer jede Kompatibilitaetsstufe generiert. Die "Modern"-Konfiguration unterstuetzt nur TLS 1.3 (maximale Sicherheit, weniger Kompatibilitaet), "Intermediate" fuegt TLS 1.2 mit sicheren Ciphern hinzu (guter Kompromiss), "Old" unterstuetzt auch Legacy-Clients (mehr Kompatibilitaet, weniger Sicherheit). Fuer die meisten Websites ist "Intermediate" die optimale Wahl.
Nach der Konfiguration ueberpruefen Sie mit dem TLS Cipher Test und mit SSL Check fuer den Gesamtgrad. Wenn Ihr Server auch E-Mail verwaltet, testen Sie die Cipher auf dem SMTP-Port mit SMTP Diagnostics — die TLS-Konfiguration fuer E-Mail koennte sich von der Web-Konfiguration unterscheiden. Ein Server mit Grad A bei HTTPS, aber schwachen Ciphern bei SMTP hat immer noch eine bedeutende Schwachstelle in der E-Mail-Kommunikation.
Forward Secrecy verdient besondere Aufmerksamkeit: Sie stellt sicher, dass selbst wenn der private Schluessel des Servers in Zukunft kompromittiert wird, vergangene Sitzungen sicher bleiben. Ohne Forward Secrecy (direkter RSA-Schluesselaustausch) kann ein Angreifer, der den privaten Schluessel erlangt, den gesamten aufgezeichneten vergangenen Verkehr entschluesseln. Mit ECDHE verwendet jede Sitzung ephemere Schluessel, die am Ende der Verbindung zerstoert werden, was eine rueckwirkende Entschluesselung unmoeglich macht.