Content tagged tls
Aufgrund der Tatsache, dass die Hardware mit denen Public-Key-Schlüssel
angegriffen werden kann immer leistungsfähiger wird, ist es notwendig, dass auch
die Größe der eingesetzten Schlüssel immer weiter vergrößert wird.
Für den Einsatz mit qualifizierten digitalen Signaturen in Deutschland
veröffentlicht beispielsweise die Bundesnetzagentur jährlich den sogenannten
Algorithmenkatalog. In
ihm steht jeweils welche Mindestschlüssellänge bis zu welchem Zeitpunkt als
ausreichend angesehen werden kann.
Aktuell wird für den Einsatz von RSA-Schlüsseln bis Ende 2018 beispielsweise
empfohlen, dass diese mindestens 2048 Bit lang sein sollten.
Dies betrifft aber natürlich nicht nur qualifizierte Signaturen sondern
beispielsweise auch die verschlüsselte Übertragung von Webseiten mit dem
HTTPS-Protokoll. Auch hierfür werden meistens RSA-Schlüssel eingesetzt.
Üblicherweise trifft man auf Webservern dabei meistens Schlüssel der empfohlenen
Länge an. (Ergebnis einer nicht repräsentativen Überprüfung einiger Websites
durch mich.)
weiterlesen | read more | lee mas | lê mais | 閱讀更多 »
Ich greife mit zwei E-Mail-Programmen auf meinen Mailaccount zu. Das eine ist
mutt, das andere ist
Thunderbird. Während ich mit mutt keine
Probleme habe, kann ich seit zwei Tagen mit Thunderbird nicht mehr auf mein
E-Mail-Konto zugreifen.
Wenn ich es probiere, dann sehe ich Thunderbird für etwa 20 Sekunden versuchen
eine Verbindung mit dem Mailserver aufzubauen. Nach diesen 20 Sekunden stellt
sich Thunderbird wieder so als hätte es nicht versucht E-Mails abzufragen. Es
kommt also auch keine Fehlermeldung oder dergleichen.
weiterlesen | read more | lee mas | lê mais | 閱讀更多 »
Die IPv4-Adressen gehen aus – so ließt man. Im Februar 2011 wurde die letzte
freie Adresse in Europa vergeben. Was seitdem getan wird: nichts. Trotzdem
leiste ich meinen Beitrag: ich spare IPv4-Adressen mit virtuellem Hosting auch
für HTTPS.
HTTPS und die IP-Adressen
Der wichtigste Grund warum ein Webserver mehrere IP-Adressen hat ist HTTPS.
Für jede HTTPS-Domain brauchte man bisher eine eigene IP-Adresse. Die
Verschlüsselung von HTTPS wird aktiviert bevor der Webbrowser dem Server sagt
welche Webadresse er abrufen möchte. Das Problem dabei: das Zertifikat welcher
Domain soll der Server nun benutzen? Verwendet er das falsche meckert der
Browser. Eine rote Seite erscheint und warnt den Internetnutzer, dass da etwas
nicht stimmt und die Seite vielleicht unsicher ist. Das wollen wir nicht!
Die Lösung bisher: jede Domain hat eine eigene IP-Adresse. Muss ein
Webserver eine HTTPS-Anfrage beantworten, schaut er welche IP-Adresse
angesprochen wurde. Kein Problem, das kann er. Für jede IP-Adresse weiß er die
zugehörige Domain. Er kann das richtige Zertifikat nutzen.
Schon 2003 aber wurde Server Name
Indication (engl. für
„Andeutung des Servernamens“) erfunden RFC 6066: Transport Layer Security
(TLS) Extensions: Extension
Definitions Moderne Browser
übermitteln hiermit schon bevor verschlüsselt wird welche Domain sie
erwarten. Wenn sich der Browser an diesen Standard hält, dann kann der Webserver
auch ohne verschiedene IP-Adressen erkennen welches Zertifikat er nutzen muss.
weiterlesen | read more | lee mas | lê mais | 閱讀更多 »