Https Verschlüsselung - Sicherheit verbessern

SSL Reverse Proxy
Antworten
Ele
Neu hier
Neu hier
Beiträge: 2
Registriert: So 1. Aug 2021, 20:53

Https Verschlüsselung - Sicherheit verbessern

Beitrag von Ele »

Um es vorweg zu nehmen, ich habe nicht wirklich Ahnung von der Materie aber hatte mich vor längerer Zeit schon mit dem Thema IOTServer beschäftigt bevor ich jetzt seit ein paar Wochen auf das Skript umgestiegen bin. Davor hab das Projekt von sensorsIOT (https://github.com/SensorsIot/IOTstack/tree/master/) genutzt und viel gelernt und gebastelt.

Zum eigentlichen Thema:
Man kann die Sichreheit der SSL-Verschlüsselung in traefik mit ein paar Zeilen Code verbessern.
Ich beziehe mich hierbei auf einen Blogpost auf goNeuland.de
https://goneuland.de/traefik-v2-https-v ... erbessern/
Alles wichtige wird dort beschrieben. Für meine Installation war es sogar noch einfacher, es wird einfach die config.yml in /ei23-docker/volumes/traefik/traefik/dynamic um diese zeilen code erweitert:

Code: Alles auswählen

tls:
  options:
    default:
      minVersion: VersionTLS12
      cipherSuites:
        - TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
        - TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
        - TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
        - TLS_AES_128_GCM_SHA256
        - TLS_AES_256_GCM_SHA384
        - TLS_CHACHA20_POLY1305_SHA256
      curvePreferences:
        - CurveP521
        - CurveP384
      sniStrict: true
Nach einem Test auf SSL Labs hatte ich danach ein A-Ranking (Vorher B).
Was auch immer das genau heißen mag. ;-)
Ihr könnt ja mal euren Senf dazu geben, ob das ganze sinnvoll ist oder evtl. sogar schlechter.

Grüße Ele

Andy
Administrator
Administrator
Beiträge: 82
Registriert: Fr 16. Jul 2021, 22:06
Has thanked: 1 time

Re: Https Verschlüsselung - Sicherheit verbessern

Beitrag von Andy »

Ich denke Felix könnte dazu was zum besten geben aber der junge Mann ist grade hart beschäftigt. Job, Projekte...
Raspberry PI 4B 4GB # 2Ghz Takt # 500GB HDD (KODI IPTV)
Raspberry PI 4B 8GB # 2Ghz Takt # 1TB 2.5" HDD (EI23 Skript)

Benutzeravatar
ei23felix
Administrator
Administrator
Beiträge: 46
Registriert: Sa 17. Jul 2021, 10:44
Kontaktdaten:

Re: Https Verschlüsselung - Sicherheit verbessern

Beitrag von ei23felix »

Ele hat geschrieben:
Di 21. Sep 2021, 16:40
Um es vorweg zu nehmen, ich habe nicht wirklich Ahnung von der Materie aber hatte mich vor längerer Zeit schon mit dem Thema IOTServer beschäftigt bevor ich jetzt seit ein paar Wochen auf das Skript umgestiegen bin. Davor hab das Projekt von sensorsIOT (https://github.com/SensorsIot/IOTstack/tree/master/) genutzt und viel gelernt und gebastelt.

Zum eigentlichen Thema:
Man kann die Sichreheit der SSL-Verschlüsselung in traefik mit ein paar Zeilen Code verbessern.
Ich beziehe mich hierbei auf einen Blogpost auf goNeuland.de
https://goneuland.de/traefik-v2-https-v ... erbessern/
Alles wichtige wird dort beschrieben. Für meine Installation war es sogar noch einfacher, es wird einfach die config.yml in /ei23-docker/volumes/traefik/traefik/dynamic um diese zeilen code erweitert:

Code: Alles auswählen

tls:
  options:
    default:
      minVersion: VersionTLS12
      cipherSuites:
        - TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
        - TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
        - TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
        - TLS_AES_128_GCM_SHA256
        - TLS_AES_256_GCM_SHA384
        - TLS_CHACHA20_POLY1305_SHA256
      curvePreferences:
        - CurveP521
        - CurveP384
      sniStrict: true
Nach einem Test auf SSL Labs hatte ich danach ein A-Ranking (Vorher B).
Was auch immer das genau heißen mag. ;-)
Ihr könnt ja mal euren Senf dazu geben, ob das ganze sinnvoll ist oder evtl. sogar schlechter.

Grüße Ele

Hi Ele,
danke für deinen Beitrag!
Soweit ich weiß verschlüsselt Traefik mit einem guten Browser wie dem Firefox im TLS_CHACHA20_POLY1305_SHA256 bzw. mit SHA256 und RSA mit 4096 Bit und das ist sehr sicher!
Mit dem Internet Explorer 7 sieht vermutlich schon wieder anders aus... Aber nutzt den jemand? Ich hoffe nicht!
Man kann es wie in deinem Link beschrieben verbessern, ähnlich wie mit https Zwang.
Grundsätzlich kann man den Standardeinstellungen aber schon vertrauen, vorallem wenn man nicht vom Fach ist oder weiß was man da verändert oder verstellt.

Die Probleme, warum Traefik runtergestuft wird, sind vorallem wegen der vorhandenen Abwärtskompatiblität
This server does not support Forward Secrecy with the reference browsers. Grade capped to B. MORE INFO »
This server supports TLS 1.0 and TLS 1.1. Grade capped to B. MORE INFO »
Ich lasse das daher erstmal optional. Wer weiß wer noch den IE7 nutzt :o :?

Und dieser Comic zeigt es auch ganz gut:
https://xkcd.com/538/

Soweit mein Senf dazu :D
Jetzt muss ich wieder in die Projekte ;)

Viele Grüße
Felix
  • Böse Menschen sind selten tatsächlich böse, meistens eher faul oder dumm.
  • Du kannst nur dann sicher sein, wenn du weißt, dass du nie ganz sicher sein kannst.
  • Du kannst nur unabhängig werden, wenn du weißt, dass du nie ganz unabhängig sein wirst.

Ele
Neu hier
Neu hier
Beiträge: 2
Registriert: So 1. Aug 2021, 20:53

Re: Https Verschlüsselung - Sicherheit verbessern

Beitrag von Ele »

Danke für deinen Senf. Ich habe mir schon gedacht dass es wahrscheinlich übertrieben ist und die normalen Einstellungen reichen. Verschlechtert hat die Aktion aber ja auch nix soweit ich das verstehe, deswegen lass ich's bei mir mal so laufen.

Gruß Ele

Benutzeravatar
ei23felix
Administrator
Administrator
Beiträge: 46
Registriert: Sa 17. Jul 2021, 10:44
Kontaktdaten:

Re: Https Verschlüsselung - Sicherheit verbessern

Beitrag von ei23felix »

Jap.
Analog gesprochen wie ein Router der kein WPA2 mehr unterstützt, sondern nur noch WPA3.
Alle Geräte ohne WPA3 gehen nicht mehr, aber dafür ist dein WLAN jetzt *state of the art* sicher!
  • Böse Menschen sind selten tatsächlich böse, meistens eher faul oder dumm.
  • Du kannst nur dann sicher sein, wenn du weißt, dass du nie ganz sicher sein kannst.
  • Du kannst nur unabhängig werden, wenn du weißt, dass du nie ganz unabhängig sein wirst.

Antworten