Skip to content

Securityheaders.io

Viele von euch kennen vielleicht die Seite SSLLabs.com, bei der sich die Einstellungen bezüglich TLS testen lassen. Wer wissen möchte, wie gut die Daten auf einer verschlüsselten Webseite geschützt sind, kann den Namen eingeben und SSLabs führt dann verschiedene Tests durch. Nach Beendigung gibt die Seite eine Einschätzung aus.

SSLLabs für kubieziel.de
SSL-Einstellungen für kubieziel.de im Dezember 2015

Nun ist TLS nicht die einzige Baustelle, was die Sicherheit im Web betrifft. Es gibt zahlreiche Schwachstellen, die ausgenutzt werden. Für einige dieser Schwachstellen wurden neue HTTP-Header eingeführt.

So gibt es beispielsweise einen, der dem Browser auffordert, die Seite ausschließlich über HTTPS aufzusuchen (HSTS). Die meisten aktuellen Browser unterstützen den Header. Daneben gibt es Header, die Schutz vor so genanntem Cross-Site-Scripting (XSS) bieten sollen sowie weitere mehr.

Die Seite securityheaders.io hat es sich zum Ziel gemacht, die Header der Webseiten zu testen und ein ähnliches Rating wie SSLLabs auszugeben. Auch hier erhaltet ihr einen schnellen Überblick über die Sicherungsmaßnahmen. Allerdings habe ich Einstellungen gefunden, wo das Rating aus meiner Sicht nicht gerechtfertigt ist. Die Seite hatte HSTS gesetzt und erhielt trotzdem nur ein sehr schlechtes Rating. Laut Aussage der Entwickler sind die aber dabei, das zu ändern. Testet die Seite doch mal aus!

Meine Seite hat derzeit folgendes Rating:

Bewertung der HTTP-Header bei kubieziel.de
Bewertung der HTTP-Header bei kubieziel.de

Wie ihr seht, fehlt derzeit CSP und das Key Pinning. Bei letzterem lässt sich aus meiner Sicht viel falsch machen. Da will ich erstmal noch ein paar Gedanken reinstecken, bevor ich den setze. Und CSP muss ich testen, inwieweit das mit dem Blog Probleme gibt. Wenn das passiert ist, steht einem A+ nichts mehr im Wege. :-)

Neues TLS-Zertifikat

Der Webserver hat seit heute ein neues Zertifikat. Ich bin jetzt von CAcert auf Let’s Encrypt umgestiegen. Bei den Übernauten ist die Einrichtung sehr einfach. Nachdem die Befehle uberspace-letsencrypt, letsencrypt certonly und uberspace-prepare-certificate eingegeben wurden, war alles fertig.

Wenn ihr das Zertifikat prüfen wollt, hier ist der SHA-256-Hash:

B8:8A:B3:34:0E:5F:97:6A:88:F0:A7:E7:91:73:F4:50:42:29:0A:73:07:54:68:2D:96:EB:36:29:BB:FC:58:A8

Hatten die Dokumente von Snowden einen Einfluß auf Jihadisten?

Hier, wie auch in Zeitungen, gilt die Regel, wenn der Titel eine Frage enthält, ist die Antwort nein. :-)

Die längere Antwort: Flashpoint Global Partners machen Eigenwerbung, dass sie das Dark Web beleuchten und Auskünfte zu Jihadisten bieten können. Im letzten Jahr haben sie sich angeschaut, ob sich die Verwendung von Verschlüsselungswerkzeugen bei Jihadisten seit den Veröffentlichungen von Snowden geändert hat (komplettes PDF). Dazu haben sie das Dark Web abgegrast und versucht, Hinweise zu finden.

Die Firma schaute sich die Veröffentlichungszyklen von entsprechender Software (Mujahedeen Secrets, Asrar al-Dardashah etc.) an. Nach Snowden gab es nicht mehr oder häufigere Veröffentlichungen als vorher. Weiterhin suchten sie nach bestimmten Schlagworten (Verschlüsselung, Name der Software etc.). Hier gingen die Diskussionen nach Snowden entweder zurück oder blieben gleich.

Daher geht die Firma davon aus, dass Snowden keinen oder nur geringe Effekte auf den Einsatz von Verschlüsselung durch Jihadisten hat.

tweetbackcheck