Frage/n zu meinem SSL-Zertifikat
oxo888oxo
- tls
Hallo
Ich habe meine Website bei 1&1 gehostet. Dort habe ich auch ein SSL-Zertifikat.
Das SSL-Zertifikat habe ich mit dem Dienst ssllabs.com überprüft. Dabei kommt ein nicht so supertolles Ergebnis heraus: https://www.ssllabs.com/ssltest/analyze.html?d=spaceart.de&hideResults=on
Wenn ich das richtig sehe, liegt es vor Allem daran, dass 1&1 immer noch TLS 1.0 bietet. Laut E-Mails und Telefonaten mit 1&1 werden die aber bald auch auf TLS 1.2 umstellen. Dann müsste das Testergebnis ja deutlich besser ausfallen. Habe ich das soweit richtig verstanden?
Und dann habe ich noch das hier gelesen: Fahrplan zur Ablösung von SHA-1 Zertifikaten in Edge und Internet Explorer steht. Nun frage ich mich, ob mich das auch betrifft mit meinem aktuellen 1&1 SSL-Zertifikat. Kann ich an dem oben genannten Testergebnis irgendwie ablesen, ob mein Zertifikat davon sozusagen auch betroffen ist?
Über Eure Hilfe würde ich mich sehr freuen. Gruß aus Münster Ingo
Hallo oxo888oxo,
Das SSL-Zertifikat habe ich mit dem Dienst ssllabs.com überprüft. Dabei kommt ein nicht so supertolles Ergebnis heraus: https://www.ssllabs.com/ssltest/analyze.html?d=spaceart.de&hideResults=on
Wenn ich das richtig sehe, liegt es vor Allem daran, dass 1&1 immer noch TLS 1.0 bietet. Laut E-Mails und Telefonaten mit 1&1 werden die aber bald auch auf TLS 1.2 umstellen. Dann müsste das Testergebnis ja deutlich besser ausfallen. Habe ich das soweit richtig verstanden?
Du hast zwei Probleme. Einerseits weil du noch kein TLS 1.2 hast, ja – aber andererseits wird ein schwacher Diffie-Hellman-Parameter benutzt:
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (0x16) DH 1024 bits FS WEAK
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) DH 1024 bits FS WEAK
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) DH 1024 bits FS WEAK
Das macht die Forward Secrecy kaputt. Tatsächlich scheint es sogar so, dass gar kein DH-Parameter erzeugt wurde und der Standard-Parameter benutzt wird:
Uses common DH primes Yes Replace with custom DH parameters if possible (more info)
Damit gibt es halt effektiv keine Forward secrecy.
Und dann habe ich noch das hier gelesen: Fahrplan zur Ablösung von SHA-1 Zertifikaten in Edge und Internet Explorer steht. Nun frage ich mich, ob mich das auch betrifft mit meinem aktuellen 1&1 SSL-Zertifikat. Kann ich an dem oben genannten Testergebnis irgendwie ablesen, ob mein Zertifikat davon sozusagen auch betroffen ist?
Nein, du hast ein Misch-Zertifikat, es hat einen SHA1-Fingerprint aber auch einen SHA256-Fingerprint. Du bist hier also abgesichert.
Gruß aus Münster
Grüße aus Steinfurt :-)
LG,
CK
Hallo
aber andererseits wird ein schwacher Diffie-Hellman-Parameter benutzt [...] Damit gibt es halt effektiv keine Forward secrecy.
OK verstehe. Schon erstaunlich, dass so ein großer Provider wie 1&1 da doch noch so weit hinten ist :-) Ich werde aber noch abwarten, bis deren Änderungen durchgeführt wurden. Mal gucken, was die dann letztendlich für ein Zertifikat anbieten.
Nein, du hast ein Misch-Zertifikat, es hat einen SHA1-Fingerprint aber auch einen SHA256-Fingerprint. Du bist hier also abgesichert.
Ah OK, das ist ja schon mal prima. Vielen Dank für Deine Antwort.
Gruß Ingo
Tach!
Schon erstaunlich, dass so ein großer Provider wie 1&1 da doch noch so weit hinten ist :-)
Als so ein großer Anbieter muss man den möglichen Support-Aufwand mit einkalkulieren. Wenn man zu modern ist, dann gibt es Meldungen, dass die Kunden der Kunden mit zu alter Technik nicht mehr mitspielen können. Und sowas bekommst du als Hoster ja auch nicht gelöst. Du kannst die Leute nicht zum Updaten zwingen. Deswegen kommt man gar nicht umhin, manche Dinge sehr konservativ anzugehen. Man kann oftmals nur warten, bis der Anteil alter Technik keine Rolle mehr spielt.
dedlfix.
Hallo
aber andererseits wird ein schwacher Diffie-Hellman-Parameter benutzt [...] Damit gibt es halt effektiv keine Forward secrecy.
OK verstehe. Schon erstaunlich, dass so ein großer Provider wie 1&1 da doch noch so weit hinten ist :-)
Gerade die großen Provider sind an vielen Stellen nicht ganz vorn dabei. Oft hängen zu viele Anwendungen ihrer Kunden an veralteten Bestandteilen. Um den Serviceaufwand für die Beruhigung der erbosten Kunden, deren Systeme bei Updates des Hosters kaputt gehen, nicht zu groß werden zu lassen, werden alte Systeme am laufen gehalten.
Das ist halt wie unter Windows mit Browseranwendungen, die nur im IE6 liefen. Die waren ein nicht unwesentlicher Grund für sein unnötiges und überlanges Siechtum. :-)
Tschö, Auge