Neuer Mindeststandard für TLS

Kurz aufeinanderfolgend haben das Nationaal Cyber Security Centrum (kurz: NCSC, IT-Sicherheitsbehörde der Niederlande) und das deutsche BSI neue Mindeststandards für TLS veröffentlicht. Beide, NCSC und BSI, empfehlen von nun an entweder TLS 1.3 oder TLS 1.2 mit DH für Forward Secrecy zur Verschlüsselung der Transportschicht zu verwenden.

Beide …

Continue reading

Server oder Client: Wer sollte die TLS Parameter bestimmen?

Carsten Strotmann, 27.04.2019

   TLS    SSL

Über Jahre haben wir TLS-Server so eingerichtet, dass die Verschlüsselungs-Algorithmen von Server vorgegeben werden. In seinem Blog stellt Chris Siebenmann die Frage, ob dies noch zeitgemäß ist. Browser werden heute oft und automatisch aktualisiert, häufiger als Administratoren die TLS-Einstellungen der Server überprüfen und aktualisieren.

Seine Argumente regen zum Nachdenken an …

Continue reading

E-Mail über sicheres LMTP bei Dovecot einliefern

Ab Version 2.2.16 (oder 2.2.15 mit aktuellem Patch) unterstützt Dovecots LMTP-Server endlich STARTTLS. Dovecot kann damit endlich LMTPS anbieten. Wer Wert auf eine verschlüsselte Datenübertragung legt, kann jetzt auch die letzte Wegstrecke einfach absichern.

Bevor ich die STARTTLS-Konfiguration des LMTP-Servers zeige, kurz ein …

Continue reading

SMTP TLS SSL Heartbleed Fix Ironport F5 Probleme

Der SSL 1.0.1g Heartbleed Fix hat ein paar unerwünschte Nebenwirkungen. Empfangende Mailserver, die mit einer vorgeschalteten Ironport-Firewall und eventuell mit „F5“ Loadbalancern abgesichert sind, können unter Umständen nicht mehr über SMTP TLS angesprochen werden.

Wer für diese Ziele mandatory TLS eingestellt hat wird seine Nachrichten nicht loswerden. Die …

Continue reading

Recipient Verification for mandatory TLS

If mandatory TLS mode for some recipients or domains is chosen, mails may get deferred until the expiry of the maximal queue lifetime, since the "best" recipient MX server doesn't have TLS activated. This "works as designed" but may confuse your senders -- as a workaround I created recipient verification via …

Continue reading

Perfect Forward Secrecy für Webservices

In meinem Blog beschreibe ich das Thema Perfect Forward Secrecy (PFS) generell, aber auch den Einsatz von PFS mittels Diffie-Hellman Ephemerals. In diesem Beitrag dokumentiere ich speziell Elliptic Curve Cryptography basierte PFS für Websservices, wobei ich mich bemühe, die Informationen allgemein verständlich zu halten. Links verweisen auf eingehende Dokumentationen.

Elliptic …

Continue reading

Kein TLS mit hotmail.com

Da dieser Tage viele große Mailprovider auf Einlieferung mit TLS umgestellt haben, fallen mir Verbindungen ohne TLS im Log schneller auf. Zumindest mir ging es so mit hotmail.com. Zuerst dachte ich an einen Fehler und habe in den Logs mehrerer Mailserver gesucht. Doch es ist wohl so: hotmail.com …

Continue reading

How to create and administer X.509 Certificate chains, Part I

X.509 certificates are widely used for data transport security and integrity assertion. The first part describes the creation of a private Certificate Authority (CA) and host certificates, while the second part deals with administration of certificates. The third part will enable you to build your own administration tools based …

Continue reading

Dovecot TLS Perfect Forward Secrecy (PFS)

Perfect Forward Secrecy (PFS) mit Dovecot ist schnell eingerichtet. Moderne IMAP/POP3-Clients nutzen dieses besondere Sicherheitsangebot auch. Allerdings existiert kein Weg, PFS für jede Verbindung zu erzwingen. Ältere IMAP/POP3 Clients können vom Aufbau verschlüsselter Verbindungen ausgeschlossen werden.

Was geht?

Dovecot 2.1.x und neuer bieten Perfect Forward Secrecy …

Continue reading

Postfix TLS Perfect Forward Secrecy

Dank #prism ist Forward Secrecy für E-Mail gerade in aller Munde. Ich habe mal die relevanten Informationen für Postfix zusammengetragen, damit man nicht lange suchen muss. Aber erst mal ein wenig Schlau machen…

Was ist Forward Secrecy?

Wikipedia beschreibt Forward Secrecy wie folgt: Folgenlosigkeit (englisch Perfect Forward Secrecy, PFS; auf …

Continue reading