Login
Newsletter
Werbung

Do, 4. Juli 2019, 16:27

Software::Netzwerk

Mozilla präsentiert SSL-Konfigurationsgenerator

Mozilla hat auf einer neuen Webseite ein Werkzeug vorgestellt, das beim Erstellen guter SSL-Konfigurationen hilft.

Mozilla

Zahlreiche Programme nutzen Transportverschlüsselung, doch der Umfang und die Syntax der angebotenen Optionen unterscheiden sich von Programm zu Programm. Das macht es nicht unbedingt leicht, eine gute Konfiguration zu erstellen, und im schlimmsten Fall erhält man eine unsichere Konfiguration.

Mozilla hat für die Server-seitige TLS-Konfiguration einige Richtlinien entwickelt, die dabei helfen. eventuelle Fallstricke zu vermeiden. Jetzt sind diese Richtlinien auch in Form eines neuen Werkzeugs, dem SSL-Konfigurationsgenerator, verfügbar, das passende Konfigurationen auf Knopfdruck generiert. Auf der Webseite ssl-config.mozilla.org kann man auswählen, für welches Programm die Konfiguration erstellt werden soll und welche Clients sie zulassen soll. Als Programme stehen Apache, AWS Elastic Load Balancer, Caddy, HAProxy, lighttpd, MySQL, nginx, Oracle HTTP Server, Postfix und PostgreSQL zur Auswahl, zusätzlich kann man die Programmversion angeben. Weitere Konfigurationsoperationen sind die eingesetzte OpenSSL-Version, ob HTTP Strict Transport Security verwendet werden soll und ob OCSP Stapling genutzt werden soll.

Die generierte Konfiguration ist direkt einsetzbar oder kann nachträglich noch angepasst werden. Welche Clients mit der erzeugten Konfiguration funktionieren, hängt davon ab, ob man die Einstellung »Modern«, »Intermediate« oder »Old« wählt. Wenn die Clients TLS 1.3 unterstützen, kann man »Modern« wählen, das die besten Algorithmen verwendet und keine veralteten. Im Normalfall wird man aber »Intermediate« vorziehen müssen, um größtmögliche Kompatibilität mit Clients zu erhalten, ohne schwache Algorithmen zuzulassen. Nur bei sehr alten Clients sollte man »Old« wählen, was auch obsolete Algorithmen zulässt.

Der SSL-Konfigurationsgenerator ist als Node.js-Programm implementiert und sein Quellcode ist auf Github verfügbar. Eine Lizenz trägt der Code noch nicht. Die Entwicklung scheint auch noch nicht abgeschlossen zu sein.

Werbung
Pro-Linux
Traut euch!
Neue Nachrichten
Werbung