Cipher-Suites

Die Verwendung von SSL geht über die Installation des SSL-Zertifikats hinaus, aber auch die Servereinstellungen sind wichtig. Ein wichtiger Teil dieser Servereinstellungen sind Cipher-Suites.

Was ist eine Cipher-Suite?

Eine Cipher-Suite ist eine Methode zum Erstellen einer verschlüsselten Verbindung gemäß dem TLS-Protokoll. Das TLS-Protokoll arbeitet gemäß einer festen Kombination verschiedener Algorithmen, die für den verschlüsselten Verkehr zwischen Server und Client verwendet werden. Ein Algorithmus ist eine Reihe von Anweisungen zum Ausführen einer Berechnung, bei der die Eingabe nach einer bestimmten Anzahl von Schritten eine bestimmte Ausgabe hat.

Eine Cipher-Suite legt fest, wie der Datenverkehr zwischen einem Server und einem Client verschlüsselt und verarbeitet wird. Eine Cipher Suite enthält.

  • Ein Schlüsselaustauschalgorithmus, der aufzeichnet, wie die Authentifizierung unter SSL-Handshake stattfindet, z. B. ECDHE_RSA.
  • Ein Verschlüsselungsalgorithmus, der festlegt, wie der ausgetauschte Verkehr verschlüsselt wird, z. B. AES_128_GCM.
  • Ein Algorithmus zum Erzeugen von kryptographischem Hash-Wert der ausgetauschten Daten, beispielsweise SHA-256.

Das SSL/TLS-Protokoll verfügt über mehrere Cipher-Suites, um eine verschlüsselte Verbindung zu erstellen. Wenn ein Browser (Client) eine verschlüsselte Verbindung mit einem Server erstellen möchte, fragt der Browser, welche Cipher-Suites verfügbar sind. Wenn Cipher-Suites bekannt sind, verwendet ein Browser automatisch die stärkste Cipher-Suite. Einige dieser Cipher-Suites sind jetzt schwach und unsicher. Obwohl die schwachen Cipher-Suites nicht mehr empfohlen werden, sind sie oft noch auf vielen Servern und Clients vorhanden. Dies ermöglicht das Umleiten und Abfangen von Datenverkehr. Es ist daher wichtig, unsichere Cipher-Suites auf Ihrem Server zu deaktivieren. Da immer wieder neue Sicherheitslücken auftreten können, sollten Sie regelmäßig überprüfen, welche Cipher-Suites noch sicher sind. Dies kann zum Beispiel geschehen über SSLLabs.

Einrichtung von Cipher-Suites

Die Schritte zum Einrichten der Cipher-Suites sind von Server zu Server unterschiedlich:

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.