 Guten Morgen! Falls wir etwas tiefer klingen als gestern, das hat Gründe. Haben wir eigentlich Verstellungsleits auch? Das ist der McLennemann. Das ist der Leirer. Wer war im E-Mail-Talk von uns? Wir probieren das jetzt nochmal. Aber funktioniert noch, sehr schön. Und nun zu etwas ganz andere. Zeitgemisse Webserver-Konfigurationen. Das heißt so ungefähr 21 Uhr jetzt. Und Webserver, wofür braucht man die eigentlich noch? Also zum Beispiel für ein Webmail-Interface. Damit man seine Filterregeln konfigurieren kann. Für ein Onionservice? Nächstes Jahr. Für Heuer haben wir genug Tags. Dann schauen wir uns mal an. Was den Webserver heutzutage so für Protokolle sprechen, gibt es da Vermutungen? Http? Ja, ja, ja. Websockets. Das ist so ein Hipster-Zeug. Wir sind zu einfach. Genau. Http war schon ein guter Anfang. Sind wir da klar? Http 0.9 seinerzeit am CERN entwickelt worden. Wir erinnern uns alle. Das war 1991. Auf einem Next Cube? Ja. Ist jemand nach 1991 geboren worden? Ah ja. Ihr habt da echt was verpasst. Das war damals wirklich cool. Das war wirklich cool. Im Kino ist damals das Schweigen der Lämmer gelaufen. Hat aber damit nichts zu tun. Ging aber flott weiter? Http 1.0. Weißt du, wann das war? Fast. 1996. Da fragen wir jetzt nicht mehr nach. Nein, nein, nein. 1996 ist noch was rausgekommen. Wer weiß es? Auch ein Protokoll. Na? Ideen? Na? Nah dran? Geht es genauer? Das ist jetzt noch nicht die Quiz Show. Das ist nur, dass er nicht einschlafft. FTP war 1971. Das ist so alt wie ich. SSL VIII ist da rausgekommen. Ja, ja, ja. Es ging dann Schlag auf Schlag. Http 1.1. Damals war im Kino Fight Club. Und einer dieser Star Wars Fanfiction Ausgaben. Das war 1999. Ich glaube, jetzt haben wir endgültig niemanden mehr, der jünger ist als das. 1999 ist auch wieder ein anderes Protokoll rausgekommen. Schön langsam müsste du das. Die Profis wieder bei mei. Die haben wahrscheinlich am Handy alle RFCs und machen folgliches Zug. Die haben von unseren alten Tags gelernt. Richtig, TLS 1.0. TLS 1.1. Das war 2003. 2006. Und TLS 1.2. Er wird es ja wohl schaffen, das abzulesen. So klein ist es auch wieder nicht. Genau, da haben wir heute auch noch was gehört. Speedy. Ich spoiler jetzt nicht. Auch? Ja, das ist korrekt. 2009 war das. Bezahn das alles schon ewig mit uns mit. Ja, das ist so. Hatte die B2? Gess? Letztes Mai 2015. Was auf den Linux-Tagen? Hatte die B2? Ja, also hatte die B2 ist 2012 vom Google-Proprietären Speedy quasi von der AITF übernommen worden, um als hatte die B2 standardisiert zu werden und ist dann im Februar 2015 finalreleased worden. Verwenkt das schon wehr von euch? Hat niemand von euch ein Twitter-Account? Oder irgendetwas mit F oder Google? Verwendet niemand von euch? Wenigstens konsequent. Die würden nämlich hatte die B2 schon anbieten. Die sind alle noch in Newsnet unterwegs. Die Browser und so, das ist die Kleins, können das schon recht gut? Feierfox ab 36. Wir haben die B2. Wir haben die B2. Feierfox ab 36, Chrome ab 40. Sogar der Microsoft-Edge-Browser kann das. Da gibt es schon alle Handlinge, die so Web-Server sprechen. Die sprechen jetzt auch über Web-Server. Da gibt es ein paar Assenarien, was macht man bei heutigem Deployment? Entweder ihr habt noch gar keine Webseite, dann fangt ihr bei 0 an, das ist angenehm. Wenn ihr mit einem neuen Web-Server anfangen würdet, welches Protokoll würdet ihr denn dann bevorzugt einsetzen? Kommt drauf an. Natürlich HTTPS. Damit fangen wir mal an. HTTPS, nein. HTTPS. HTTPS ist deprecated. Sag nicht, ich sag Mozilla. Ja. Ein weiteres Szenario wäre, ihr habt schon eine Webseite, die auf HTTPS läuft, und wollt da HTTPS draus machen. Was gut ist. Und die dritte Variante wäre, ihr habt schon eine Webseite mit HTTPS, und seid nicht ganz sicher, ob das S für Secure oder für Smellsfunny steht. Wir werden schauen, ob wir herauskriegen, wie wir das S bewerten können. Die Motivation, nicht unsere den Talk zu halten, sondern euren Web-Server ordentlich zu machen, ist einfach, ihr wollt einen ordentlichen Web-Server mit HTTPS ordentlicher Performance und Schlagoversverzierung für unsere deutschen Nachbarn. Schlagsahne. Die Schlagsahne übernehme ich. Und außerdem, wir haben 2016. HTTPS ist immer noch so plaintext, und Werbebanner und Tracking Cookies werden injected, Mobilfunk ist an der ganz besonders beliebt in dem Ding, außerdem ist HTTPS schneller, wenn man es richtig konfiguriert, schneller als plaintext inzwischen. Und da sind wir wieder bei den Web-Sockets und den ganzen neuen modernen Browser-Features. Wir werden nur noch über HTTPS verfügbar sein, das heißt, wenn ihr die coolen, hippen Sachen einbauen wollt in eure Webseiten, so Motion Tracking und den Akkustand vom Handy, eurer Besuchendenabfragen, solche Sachen. Wir haben doch schon andere Beispiele heute. Geolocation, Kamera, Mikrofon und so weiter, das gibt es in Zukunft nur noch über HTTPS, das heißt, es wird einfach ohne Verschlüsselung und keine sichere Ahnung gar nicht mehr funktionieren. Prinzipiell ja gut. Das Schöne ist ja auch, dass wir bei den Zertifikaten mittlerweile auch so weit sind, dass das Thema Geld für ein Zertifikat mittlerweile kein Thema mehr ist. Genau, dank letztem Crypt und auch ein paar andere CAs ziehen jetzt nach, nachdem sie gemerkt haben, bei denen kauft jetzt keiner mehr was. Damit konnte niemand rechnen. Das Status Quo, das ist kein Überbleibsel von letzter Nacht, sondern den Status Quo muss man erst mal erfassen und schauen, wie gut ist denn das HTTPS dort und das ist auch ums verbessern zu können, muss man es irgendwie bewerten können, wie gut ist es jetzt und wo sind noch Probleme. Deswegen machen wir mir ganz viel so, wie teste ich eigentlich so einen Webserver durch oder einen anderen Webserver oder den von Freunden oder Zulieferfirmen, Geschäftspartnern, genau, oder bei dem Webshop, wo ihr was bestellen wolltet und vielleicht beschlecht, doch war anders. Ich renne nicht, wenn es technisch immer ist, irgendwann einen Fax zu schicken. Ja, und die holen sich's dort auch nicht. Ein bekannter Proband in diesem Bereich, SSL Apps, Quoles, kennt das mir schon euch? Ja, sehr gut, wunderbar. Warum sind wir hier? Für die, die jetzt noch nicht aufgezeigt haben und das noch nicht kennen, ganz kurze Wiederholung, eine simple Webseite, ihr besucht die, tragt dort in dem Feld den Hosenein, den ihr testen wollt, submitt das Formular, rödelt das ein bisschen rum und dann kriegt ihr einen Testbericht. Wir haben nichts anderes erwartet. Genau. Nachdem es... Nein, nein, nein, nein, nein, nein. Nachdem wir daran geglaubt haben, dass das genau so sein wird. Also, der Testbericht ist relativ übersichtlich jetzt von dem, was man jetzt schon mal sieht. Der ist nur dich sehr, sehr lang, aber hat oben eine Management-Summary. Das heißt, wenn ein Management das versteht, verstehen das eure Kunden auch. Englisches Schulnotensystem, so A bis F. Ja, das ist doch gut. Und je F, das dort, dazu kommen wir noch. Gelinglich gibt es ein kleines Plus und es gibt vier Hauptbereiche. Das ist das Zertifikat. Das ist ein relativ binäres Fehlerverhalten. Entweder es gilt oder es gilt nicht. Wir haben aber, wenn es gilt, dann sind es auf jeden Fall mal 100 Punkte und ein grüner Balken da obersteht. Das ist sehr schön. Der Protokoll-Support, da geht es jetzt um diese TLS-Varianten. TLS 1.0, 1.1 und 1.2. Die näher an 1.2 ihr dran seid und je weniger 1.0 ihr noch verwendet, umso besser ist es. Und was ist mit SSL? Für SSL gibt es einen auf die Finger und einen roten Balken. Die Key Exchange, da geht es darum, wie handelt ein Browser und euer Webserver, wie machen sich die aus, wie sie verschlüsseln wollen? Wie gut können sie dieses Aushandeln machen? Und die Cypher Strength? Wie gut ist die Verschlüsselung, die sie sich aushandeln können? Was wird dann wirklich am Allstransport verwendet? Wie schaut das aus, wenn das nicht gut ist? Wenn das nicht gut ist, kommen wir noch dazu. Da beendern sich die Farben ein wenig. Man sieht dann noch ein paar Hinweise. Das sieht man ungefähr von hier bis da drüben nicht mehr, weil da sind wir und der Tisch im Weg. Da gibt es einen blauen Balken, da funktioniert nur mit SNI Support. Das heißt, Browser, die mindestens TLS 1.0 unterstützen, außer sie sind Android 2.2. Das war glaube ich Froyo oder so. Alles moderne Rekandas schon, das war das mit TLS 1.0. Seither können wir mehrere HTTPS-Hosts auf einer IP machen. Nennt sich SNI, ne? Genau, Server-Name-Indication. Kommen wir noch mal dazu. Auch das ist kein Thema mehr, wir haben zu wenig IP-Nummern. Ja, haben wir schon in Österreich. Nein, nein, nein. Ja, mit Milliarden von IP-Nummern. Also ja, IP, ja, ich bin ja... Natürlich, ja. IP, IP, ja. Legacy IP ist deprecated. IP, der default ist IPv6. Sehrste zweite Marte, ich bin noch nicht ganz... Bitte liebst Temperatur. Und... Genau, und das Plus kommt daher, weil wir HTTPS, also HTTPS strict Transport Security unterstützen. Das heißt, der Webserver sagt, und bei mir bitte immer nur mit HTTPS vorbeischellen und gar keinen HTTPS mehr probieren. Das ist super. Zum Vergleich, du hast gesagt, was ist, wenn der jetzt irgendwas nicht so cool ist oder nicht so ganz stimmt. Nein, keine Panung. Das ist nicht so schlimm, wie es ausschaut. Da gibt es mal als Status ein T. Jetzt habe ich gesagt, Schulnotensystem A bis F. T ist gewisse Unschärfe-Bereiche in dem Fall. Muss das Kleingedruckte lesen. Da gibt es ein Trust-Issue. Also irgendwas mit der Vertrauenswürdigkeit des Zertifikats, das ist da jetzt nicht so gut. Aber wenn man das mal ignorieren wässt, trotzdem ein A. Trust-Probleme haben wir dann, wenn ein Zertifikat abgelaufen ist oder noch nicht gilt, oder wenn bei dem Server die Uhrzeit nicht richtig gestellt ist. Oder was auch passieren kann, ist, wenn die CA, die Certificate Authority, die das Zertifikat ausgestellt hat und zitiert hat. Wenn die dem Server einfach nicht bekannt ist, dann kann das nicht überprüfen. Das kann ein Self-Sign sein. Das kann ein Self-Sign sein. Das kann ein CA-CR sein, zum Beispiel. Oder irgendeine obscure CA. Oder die aus der eigenen Firma, die kennen die natürlich auch nicht. Dann gibt es so ein T, das kann man im Store nehmen. Die A-Trust ist ein Komodo-Zertifikat. Wenn die A-Trust nicht kennt, A-Trust ist ein österreichischer Vertrauensdienst der Anbieter und Zertifizierungsstelle, die es geschafft haben, nach 30 Jahren zufällig ihr Zertifikat auslaufen zu lassen, kam relativ überraschend. Es waren dann einige regierungsnahe Webseiten gezwungen, auf alternative Anbieter umzustellen. Und die Atlas selber auch? Immerhin. Sie hatten kurzzeitig ein Class One, also ein Domain-Validated-Zertifikat. War schon ... Ja. Das ist ein Thema für einen anderen Talk. Und mehr Alkohol. Das sehen wir jetzt auch schon noch ein bisschen mehr. Da gibt es zum Beispiel eine Orange-Warnung, dass es mit dem Intermediate-Zertifikat ein Problem gibt, das ist ein schwachen Signaturelgyrhythmus. Auch das ist deprecated. Da wäre das ... der Tipp auf einen SHA2-Zertit Intermediates abzudäten. Und ... ja, auch positiv, Strict-Transport-Security kommt da auch wieder zum Einsatz. Schauen wir uns mal an, was da weiter unten, also so nach der Executive Summary in so einem Testbericht noch drinnen steht. Also eigentlich das, was uns interessiert, weil das haben wir die bunte Grafik für die Manager. In dem Fall haben wir da den Common Name, das ist sozusagen das, was ihr in den Browser eintippt, das ist das, was ihr übereint. Und ... der Gültigkeitszeitraum passt, das ist einfach nur, das Zertifikat ist eigentlich für einen anderen Server-Namen gedacht. Und dann passt das irgendwie nicht zusammen. Das heißt, wenn ich den Server mit HTTPS aufrufe, das war eigentlich gar nicht so vorgesehen, ist das eigentlich ein Versehen. Das Intermediate eben, da sehen wir noch weiter Zusatzinformationen zu den Zertifikaten und das Intermediate, das eben SHA1 signiert, falls ihr Start-SSL einsetzt, kosten günstiger und kostenlose Zertifikate her, es gibt auch SHA2 signierte Zertifikate von denen. Ihr könnt euch da noch die ganze Zertifikatskette anschauen und unterschiedliche Trust-Pfade, die da vielleicht existieren, die werden da alle angezeigt, gibt's sehr viele Infos von den Protokollen, da haben wir schon gesprochen, TLS1012 und so weiter, wird angezeigt, welche davon unterstützt werden, 112, das ist gut, das wird auch deswegen grün hervorgehoben. Was uns zu Pappis Lieblingsfolie bringt. Das ist schon einfach, die TLS-Umpel. Ja, schon wieder, genau. Das heißt, du kannst dich daran erinnern, es funktioniert also. Das heißt, ich muss jetzt in den nächsten Tag auch noch einbauen? Immer, immer mit der überall TLS-Umpel einbauen. Ganz einfach, also SSL23, ganz knallrot, nicht mehr verwenden, überhaupt nicht nirgends, gar nicht, auf keinen Fall. 1.0 und 1.1 nur noch in Notfällen, wenn es unbedingt sein muss und ihr Kleins unterstützen müsst, die nichts Besseres können und an sich auf jeden Fall unterstützen wollt ihr 1.2. Ja, das ist prinzipiell mal gut und einfach zu merken. Dann wird noch angezeigt, was denn der Server alles so an Cypher sweeten, also diese Kombinationen aus Key Exchange, aus symmetrischem Schlüsselverfahren und Authentifizierungsmethode verwendet wird und in dem Fall wird auch angezeigt, dass die Reihenfolge, die das Server vorgibt, eingehalten werden muss. Das ist auch eine relativ wichtige Sache. Was mich immer anzupft bei der Liste ist, dass die Namen wieder unterschiedlich sind. Hier kommen die IANA-Cypher-Names zum Einsatz und wenn es mit dem OpenSSL-Tool arbeitet, haben die wieder andere Namen. Das Schöne ist, Sie haben alle einen Hexcode, der ist gleich und die IANA-Namen gelten. Das ist ja die Autorität dafür. OpenSSL verwendet ein bisschen andere Abkürzungen dafür, aber prinzipiell erkennt man das. Was haben wir da noch? Das ist die so gar nicht der Handshake-Simulation. Das heißt, die Seite sagt euch, was würde denn wahrscheinlich ein Android in der und der Version oder ein Windows Edge Browser oder Java mit dem Webserver aushandeln in der Kommunikation? Java erscheint relativ schnell und sehr bald, als das funktioniert nicht. Was nicht wirklich tragisch ist bei Java? Weil es gibt relativ wenig Web-Browser mit großer Verbreitung, die in Java geschrieben wurden. Wenn es darum geht, ich habe einen API und Machine-to-Machine-Kommunikation. Vielleicht gibt es da noch ein paar Menschen und einen alten Tomcat-Anwendungen, Leiden oder so. Da könnte das schon relevant werden. Da müsst ihr genauer schauen, dass man das hinbekommt. Aber Java schaut generell etwas gruselig aus. Was ist noch da drinnen? Das sind ganz viele kleine Detailpunkte, die aber relevant sind oft. V.a. beim Debaggen ist das hilfreich. Irgendwas verhält sich komisch nicht so, wie ich es gerne hätte. Dann sind diese Angaben da ganz praktisch, wenn man sie weiß. Bei HTT-P2 nicht, wo ja SSL quasi Voraussetzung ist? Nein, de facto sehr, sehr stark sogar. Will man eine vernünftige ... In der Realität kannst du HTT-P2 nur mit HTTPS oder TLS einsetzen. Aber es steht nicht in der Spezifikation. Nein, in der Spezifikation steht es nicht drinnen. Aber wenn es die Browser nur mit TLS implementieren, hast nix davon. Und das ist gut so. Der einzige Klein, den ich kenne, hat HTT-P2 wirklich in der sogenannten H2C-Variante, also HTT-P2 ohne Verschlüsselung implementiertes Curl, zu Testszwecken. Weil da ist das Credo, wir unterstützen alles, um alles testen zu können. Im Web brausen wird er ein bisschen zack. Bei dem Publikum wird mich das nicht wundern. Ja, das soll alles geben. Also gute Dinge werden grün hervorgehoben, das ist ja recht schön und einfach. Für HTT-P2 relevant hier die Angaben für ALPN und NPN. Und bekannte Sicherheitslücken werden hier auch ausgewiesen, wenn da irgendwas drauf anfällig ist, dann wird das Knargerot markiert. Viele, viele andere Sachen sind auch noch recht interessant. Wenn ihr euch ein bisschen mit Logjam zum Beispiel beschäftigt habt, dann ist die für Helmen-Parameter-Verwendung da noch ein interessanter Punkt für euch. Und was der Server sonst noch von sich so preisgibt, zum Beispiel, das ist so eine Patche 247 und der Ubuntu mit PHP559, einem alten OpenSSL und Perl. Also der ist recht gesprächig, was da drauf ist. Wenn man irgendwie ein kaputtes PHP drauf hat, könnte das schon richtig interessant sein, falls jemand neugierig wäre, Spaß am Gerät zu haben mit eurem Server zum Beispiel. Wollt ihr vielleicht mal updateen gelegentlich. Bei größeren Web-Anwendungen ist es so, da hat man dann nicht nur einen Webserver, da hat man mehrere Webserver, da wird es dann vielleicht mit dem tool ein bisschen ungemütlich. Ganz im Gegenteil, die haben eine wunderschöne Übersicht, wenn du zum Beispiel über legacy IP könntest dich dir unterschiedlich konfiguriert haben versehentlich. Damit fällt mir das auf, in dem Fall haben die guten Leute von der Easter Egg aufgepasst, und das passt. Andere haben auch eine konsistente Konfiguration. Ich war in dem Fall so fair und habe einen aktuellen Screenshot gemacht, vor ein paar Monaten war das auch konsistent ein F. Ah, wir kriegen getränke. Eine Runde getränke für den Saal. Wunderschön. Was wäre das Schlimmste, was ihr euch bei so einem Test vorstellen könntet, was als Ergebnis rauskommt? Oder wenn ihr konsultent seid, was ist der Bestfall für euch? Was wäre das allerschlimmste, was bei dem Test rauskommen kann, wenn ihr testet? Plain Text only. Plain Text only? Das ist Level 2. Ja, sehr gut. Also, die... Kann ich dir was verkaufen? Nein, nein, so geht das nicht. Alles unterschiedlich, dann kannst du nämlich viel, viel länger, um das selber gerade zu ziehen. Wenn alle konsistent F haben, ist das einmal ändern. Das wäre zum Beispiel so ein Beispiel, wo gar kein HTTPS unterstützt wird. Der ist auch aktuell. Ich schau da immer wieder mal rein. Falls ihr da wen kennt bei dem Projekt wird weiterhelfen, auch pro Bruno. Aber es gibt auch solche Beispiele. Wer die Top-Level-Domain nicht kennt, GVAT ist Government. Das ist eigentlich noch ein recht hoher Score. Da gibt es Warnungen für Pudel. Der Test ist auch vom 27. März, also der ist aktuell. Pudel war Oktober 2014. Das ist ein sehr erwartetem Maschine, wie man sieht. Und auch so ganz viele Warnungen. Die Cypher-Sweeten schauen dann zum Beispiel so aus. Man sieht in dem Test, wenn was kaputt ist, wird das schön hervorgehoben. Das fällt einem auf, wenn man drauf schaut. Das ist ja auch gut so. Was kann man noch machen mit seinem Webserver? Response-Header. Die lustigen Header-Dinge, die werden beim Request hingeschickt oder die Session-Cookies. Wenn man das falsche CMS hat, die komplette HTML-Seite noch einmal in einem Cookie. Das passiert nur bei deinem Konzert. Nein, nein, nein. Das heißt, Header wollen wir auch testen können. Da gibt es auch Security-relevante Header. Da gibt es eine wunderschöne Website SecurityHeaders.io. Optisch angelehnt, würde ich sagen. Deutlich inspiriert, aber doch nicht. Da kann man sich eine Website anschauen. Da geht noch was. Aber auch schön, wie der IP zu sehen. Das finde ich gut. Da wurde noch nicht vollständig getestet. Wenn man sich das genau anschaut, was die relevanten Headers sind, die man dort setzen könnte, gibt es die X-Frame-Options. Das ist eine Methode, die vor Click-Jacking schützt. Da kann man die Webseite überlegen. Wenn ihr draufklickt und glaubt, auf einen Link zu klicken, den ihr haben wollt, klickt in den IP-Frame hinein. Der Klick wird euch weggeklaut. Dann läuft das im User-Kontext woanders hin, als ihr eigentlich wolltet. Da können ungute Dinge passieren. Für diesen Parameter gibt es drei Werte, die Nein, iFrames oder Frames sind gar nicht erlaubt. SameOrigin, Frames sind in der Seite erlaubt, aber nur, wenn sie auch von einem eigenen Server kommen. Das ist eine relevante Anwendung. Wenn ihr ein Webmail-Interface wollt und RoundCube einsetzt, müsst ihr dort SameOrigin einsetzen. Sonst ist das irgendwie velarifunkspaßig mit dem Webmail-Interface. Und das Filter-Konfiguren funktioniert. Wenn ihr Web-Werbebänder auf der Seite habt, dann wird es lustig, dass ihr da eintragen muss, die erlaubt sind. Das sind hoffentlich nicht viele, aber immerhin, es gibt eine Möglichkeit von dritten Anbietern auch, was einzubetten und das trotzdem halbwegs sicher halten zu können. Bei den X-Content-Type-Options gibt es genau einen gültigen Wert. Der heißt NOSNIF. Ich habe den da beispielhaft schon mal angebracht. Da geht es darum. Chrome und Internet Explorer haben diese Eigenschaft. Sie bekommen und sagen, mein Pipe, das ist ein Bild. Ich behaupte, das ist ein JPEG. Das heißt JPEG. Chrome und IE meinen, naja, ich bin mir nicht sicher. Das schaut aus wie ein Java-Skript. Eigentlich ist es ein Java-Skript und ich führe das jetzt aus. Außer ihr sagt dem, bitte da nicht rumsniffen in dem Ding. Wenn ich behaupte, das ist ein JPEG und es ist kein JPEG, dann ist es halt kaputt. Das ist relativ simple Hilfgegen so diverse lustige Drive-By-Downloads und meine C99.JPEG könnte irgendwie Spaß bereiten. Und die XSS Protection. Da gibt es auch 3 Werte. Null dreht die Protection ab. Das ist praktischerweise der Default. Die Security ist das oft so. Es gibt keine vernünftigen Defaults. Mit 1 kann man das Ganze einschalten und mit 1 Mod Block kann man dem Browser auch noch sagen, dass er diese ganze Antwort blockieren soll, dass er beim Server kommt, wenn eine Attacke vermutet wird und erkannt wird, anstatt dass die Browser dann versuchen, dieses Skript irgendwie noch zu sein teisen und gerade zu biegen und doch noch zu machen. Sicher ist sicher. Bei dem Test kann man auch unterschiedlich sagen über HTTP oder HTTPS, weil wir können ja unterschiedliche Header kommen. Bei HTTPS schaut es ein bisschen besser aus. Da kommt nämlich eben die Strict Transport Security, die uns beim ersten Test schon hat, HSTS, Strict Transport Security, gesagt eben, wie bei Browser merkt ihr, hier immer nur HTTPS verwenden. Das heißt, auch wenn ihr auf einer anderen Webseite auf den Link kickt, der zu euch führt, weiß der Browser, ich mach da jetzt auf jeden Fall HTTPS daraus, auch wenn der Link selber noch auf HTTPS geht. Du hattest eine Frage. Du hast auf der Homepage die Liste, dass seitens die zuletzt gescanned wurden, wenn du das Hackel setzt, wird dein Servername nicht in der Liste aufgeführt. Das ist ja da. Recent Scans. Recent Scans ist so mal alles, wenn du schon weißt, dass du ein Auto A plus kriegst, würde ich das Hackel wegnehmen. Du wirst nicht lange drauf scheinen, das ist alle paar Sekunden, ist die Liste neu, aber du möchtest zumindest nicht ganz rechts in der Hall of Shame aufscheinen. Bist du auch nicht lange drinnen, aber... Ja, da ist Room for Improvement. Genau, genau. Oder vielleicht kennt ihr wen. Was gibt es noch, wenn euer Webserver redirected umleitet, so Upgrade macht von HTTPS auf HTTPS, dann wird das auch angezeigt und dann gibt es zum Beispiel ein nicht besonders stark bewertetes Aussage und dann gibt es ja ein R for redirect. Praktischerweise muss ich da nicht hingehen und ausbessern, da gibt es diesen praktischen Rescan mit HTTPS Link, da klickt man drauf. Dann geht das auch wirklich alles in grün und auch da gibt es dann wieder ein schönes Plus und die ganzen Header, die vom Server kommen werden dann nochmal extrem komplett aufgelistet mit allen Details und es gibt auch noch eine Erklärung dazu, wo ihr noch ein bisschen Schummelzettel gleich zur Hand habt um nochmal nachschauen zu können, wie man denn das macht. Jetzt gibt es aber nicht nur die Web-Variante, sondern natürlich auch das Ganze für die Kommandozeile. Da kommen wir gleich dazu. In dem Fall, wir hatten ja jetzt die ... Ah, da fehlt mein Schummelzettel. Ach, jetzt muss ich extra polieren. Die Content Security Policy ist eine Möglichkeit, wie die Webseite dem Browser sagen kann von wo den Inhalte nachgeladen werden dürfen. Zum Beispiel JavaScript darf nur von dort und dort kommen, aber nicht von irgendwo anders oder eben CSS-Teile, weil CSS kann man ja relativ viel umbauen und da gibt es auch verschiedene Möglichkeiten. Da kann man sich sehr, sehr lang und sehr viel spielen für Content Security Policy, bis man da die Richtige für die eigene Webseite zusammengebaut hat. Ihr müsst halt wissen, wo kommen eure Inhalte genau her. Die allereinfachste und billigste Variante, die ihr einsetzen könnt, wäre einfach das Upgrade Insecure Requests. Ich schränke es jetzt noch nicht ein, aber ich weiß bei mir kommt alles über HTTPS und wenn ich noch irgendwo im WordPress einen alten Link habe mit einem HTTPS absolut eingebundenen Bild, dann kann der Browser ein moderner Browser das von selber auf HTTPS upgraden. Dann kann man schon mal da einfach einsteigen. HSTS haben wir schon gehabt. HSTS überholt glaube ich nicht, wenn du absolut einträgst. Richtig, aber er macht den Request trotzdem noch einmal glaube ich. Müssen wir mal ausprobieren, aber stimmt, ja. Du kannst ja Content Security Policy auch ohne HTTPS einsetzen. Dann ergibt es Sinn. Weil dann würdest du nicht zwingend das machen und dann kann der Browser trotzdem upgraden. HSTS greift halt auch bei fremden Links in dem Fall. Und das Content Security Policy greift nur da. Und da kann man dann genau definieren für Skripte, für Bilder, für CSS, für Frames und für diverse andere Objects von wo die kommen dürfen und wie die behandelt werden sollen. Ist ein bisschen komplexer. Muss man sich damit beschäftigen. HSTS haben wir jetzt schon zur genüge Preit getreten, das ist relativ einfach. Ich habe jetzt in dem Beispiel kein Preload drinnen. Es gibt von Google so eine Seite, da könnt ihr euch mit eurer Domain eintragen lassen. Dann wird eine statische Liste in den Browser hineinkompiliert. Wo der Browser dann auch wenn ihr Http von Hand hinschreibt, sagt nülü und ein Https draus macht und solche Seiten könnt ihr dann da nicht mehr mit Http aufrufen. Es geht nicht. Da gibt es auch keinen Durchklicken mehr. Ja, das ist unsicher, ich weiß es und ja, ich will das, ganz auf jeden Fall. Da gibt es keinen Button mehr, der sagt, ich will das. Ihr dürft das nicht mehr wollen. Bei HSTS musst du nichts aus dem Karte generieren und für HPKP das Public Keep Pinning hat der Hanno ein praktisches Skript geschrieben, dass du mit deinen Zertifikaten bewerfen kannst. Was dir dann genau diese Pin-Hashes auswirft, is auf GitHub und auf der Webseite vom Hanno, kann ich noch einen Link zur Verfügung stellen oder du wängst dich an den Hanno hinter dir. Nach dem Tag. Wir kommen. Test, Test. Also im RFC von HPKP ist auch eine Kommandlein zum generieren von den Pins. Ja, also kann man alles von Hand machen. Es gibt inzwischen, wie gesagt, doch praktische Tools, die das bequem machen. Genau, HPKP ist auch ein bisschen eine Bauchwehssache. Da muss man sich mit dem Keymanagement setzen. Wie man das macht, sonst kann man sich da auch wunderschön ins Knie schießen damit. Wenn ihr diese ganzen Headersachen auf der Kommandlein testen wollt und nicht über eine Webseite gehen wollt, weil ich möchte den Komfort und die Wohligkeit meines Terminals nicht verlassen. Kördel-Großi funktioniert ganz wunderbar. Ihr könnt es da mit Minus 4 und Minus 6 auch angeben, ob ihr Legacy IP oder IP verwenden wollt. Man unterstützt zwar beides, aber ihr könnt es euch nicht aussuchen, was ihr machen wollt. Das heißt, wenn ihr Inkonsisten habt, seht ihr sie dort nicht. Der Körle-Output schaut dann grob so aus. Da kommen einfach nur die Headere Tour und sonst gar nichts. Mit Weget geht das Ganze auch. Ist ein bisschen mehr zu tippen und der Output ist ein bisschen mehr konvolutet. Probiert es einfach aus. Steht das selber wie auf der Webseite im Terminal ganz bequem. Zertifikate, auch da kann man viel testen. Wir haben immer so diese Verkettung von Root-Zertifikate, das in eurem Browser oder im Betriebssystem installiert ist. Dann das Intermediate-Zertifikate und das Leaf-Zertifikate, das signiert wird. Da gibt es beim SSL-Shopper Random Firma, die haben ein praktisches Tool online, tippe ich die Domäne ein und die zeigen mir ganz schön meine Zertifikatskette an und wenn sie da irgendwelche Probleme finden das auch anschauen. Sagt der SSL-Labs auch, wenn du nur diese Info brauchst, geht das viel schneller halt. Der SSL-Labs-Test kann schon mal eine Minute danach. Jetzt hast du den Speedy noch immer drinnen gelassen. Ja, Speedy ist zwar deprecated und zum Glück doch hatte tippe 2 abgelöst worden inzwischen, aber manches setzen es halt noch ein, weil sie keinem unter Redhead oder so arbeiten. Das hat das dann in 2 Jahren, glaube ich. Aber stable ist es. Stable ist super stabil. Da gibt es den Speedy Checker. Speedy Check.org da kann man sich dann anschauen, ob die Webseite Speedy unterstützt. Wenn die schimpft, nein, Speedy nicht, inzwischen sind sie draufgekommen. Es ist schon gut, wenn es dann stattdessen hat, die tippe 2 ist und das Nachfolgeprotokoll ist. Bei den Browsern schaut es so aus, momentan unterstützen sie noch alle beides. Allerdings Speedy wird abgelöst von 8AC gibt es auch noch einen Test, der hat ähnliche Sachen wie der SSL-Apps-Test liefert, allerdings der unterstützt auch Custom Ports. SSL-Apps geht immer nur 443. Das ist ein bisschen unpraktisch, wenn man bei sich ein Calduff-Server auf 8443 betreibt. Da muss man sich mit dem Port Forwarding helfen, dass man den SSL-Apps-Test dort reinkriegt. Damit kann ich das auch machen. High Tech Bridget hat auch noch einen, der ist speziell dann praktisch, wenn man einen Shop hat mit elektronischer Zahlung. Ja, zum Beispiel. Die können nämlich die PCI DSS Compliance auswerfen, also Payment Card Industry Compliance, wenn ihr irgendwie Backend für Kreditkartenzahlungen oder sowas betreibt. Ansonsten steht das Gleiche drinnen im Wesentlichen wie im SSL-Apps-Test, aber dort wird die Compliance explizit ausgewiesen. Compliance, irgendwie sehr hinverbinden zu dem Webserver, ist manchmal auch interessant so, wieso geht das nicht? Vielleicht kann es der Browser nicht, also nachschauen, was der Browser kann. Auch nicht uninteressant. SSL-Apps hat dafür auch etwas... Schaut überraschenderweise... Ja, schaut genauso aus. Einfach mit dem Browser drauf surfen und man kriegt die lange Liste und sieht dann... Nicht mit deinem alten Endteil drauf raus und das ist eher traurig dann. Ja, da wird dann auch vieles rot. Und unterstützt eliptische Kurven und Welche? Eliptische Kurven und Welche, genau. Gruselig der RC4-Test kümmert sich ausschließlich darum, ob dein Kleintest RC4 kann oder nicht. Aber von der Optik her, ungefähr so alt wie RC4, ne? Ja, ja, hat so diesen... Netzkeep 3.1-Steel. Also ist... Funktionell. Der einzige, der da momentan noch durchfliegt, und das Ganze von Apple oder generell alles, was von Apple mit HTTPS zu tun hat, soll angeblich demnächst in einem der nächsten Security-Updates dann endlich abgedreht werden. Die Uni Hannover hat auch noch so ein nettes Tool, da kann man auch einfach hinsurfen und zeigen dann auch wieder Unterstützung von diversen Dingen an, die euer Browser kann. Und wenn ihr mal in den internen Eures Brows rumkonfigurieren wollt, dann könnt ihr einfach nicht mehr ansurfen. Um alle Fehlermeldungen von Firefox mal gesehen zu haben, in der Baut-Konfig müsst ihr zuerst anklicken, so, ja, ja, ich werd mich ebenemen. Und dann habt ihr Spaß im Gerät. Bei Chrome gibt's das gleiche unter NetInterners könnt ihr unglaublich viel zerkonfigurieren. Und was machst du mit deinem Safari-Browser? Nicht verwenden, weil der spielt nicht mit. Das gibt's nix zum Einstellen. Wir wissen, was für dich gut ist. Genau, Apple weiß, was gut ist in zwei anderen. So. Webserver-Konfigurationen. Das ist das angenehme, weil, kurze Kapitel. Genau. Wenn ihr wisst, was kaputt ist, dann müsst ihr eigentlich nur noch wissen, wie ihr es fixet. Und das geht dann meistens recht schnell. Es ist wirklich oft recht überschaubar von der Komplexität. Falls es jemand noch nicht kennen sollte, die Url dafür ist betagrypter.org. Schemeless Self-Plug. Full Disclosure. Ich bin einer der Mietautoren. Andere Mietautoren sitzen auch im Raum. Die Maske, die ich mitgewirkt habe, das Ganze ist an sich ein knapp hundertseitiger PDF-Guide für die Systemadministration. Also konkret die Leute, die da in der Konflikt rumackern müssen. Und sowieso keine Zeit haben, sich wirklich eingehend damit beschäftigen zu können, weil das Ding muss schließlich laufen. Außerdem möchte Management irgendwie diese neue Flash-Applikation deployt haben. Und außerdem ist auch keine Zeit, sich um jetzt, was ist jetzt genau der Stand mit diesen ganzen kryptografischen Dingen und wer erklärt mir das ganz schnell. Und die haben sich da wirklich zusammengesetzt, haben das Ganze durchgetestet, publiziert und im Prinzip für alle gängigen Web-Server und mittlerweile sogar mehr als Web-Server. Die Zielgruppe war ganz konkret, Systemadministrationen, die Leute, die es umsetzen müssen, denen möglichst schnell getestete Settings, die funktionieren, die Hand drücken zu können, enthält alle möglichen Web-Server, Mail-Server, Java, alles mögliche. Das Ganze ist Free-Open-Source, Libre-Gratis und vom ersten Komet in einem Gitrep und nachvollziehbar, wer was da hineingeschrieben hat. Gibt auch eine Mailing-Liste, steht alles auf der Webseite. Schaut's euch das einfach mal an. Wir freuen uns noch über Pool-Sequests. Das Näheste an Copy and Paste, was man finden kann. Bei PDFs sind wir aufpassen, da kommen gelinglich mal ein paar Returns hinein, wenn man Produkte eines Herstellers mit einem großen roten A verwendet. Gut, übliche Web-Server. Übliche Web-Server, üblichster Web-Server. Ja, immer noch üblichster Web-Server. Du stehst drauf. Nein, ich werde dafür bezahlt damit zu arbeiten. Das ist ein Unterschied. Immer noch der beliebteste Web-Server Apache in dieses Aktuelles, glaube ich, 2.4.18, so in der Größenordnung, hat wahrscheinlich jeder schon in der Hand gehabt. Konfiguration mittlerweile ja schon eher ein wenig archaisch. Wenn man sich mal dran gewöhnt hat, ist es okay, wenn man jetzt frisch dazukommt, möchte man vielleicht mittlerweile was anderes verwenden, was etwas angenehmer zu konfigurieren geht. Nachdem wir jetzt beim Thema TLS sind, brauchen wir natürlich die entsprechenden, also für das, was der Pepe jetzt gerade alles erzählt hat, zwei Module. Das Mod SSL, ja, das kann auch TLS, obwohl es nicht im Namen steht, und das Mod Header, damit wir dann eben die ganzen Header setzen können, die der Pepe jetzt da gerade ausführlichst vorgestellt hat. Wer noch, wer noch, wer noch HTT-P2 haben möchte, braucht noch ein zusätzliches Modul, das Mod H2. Damit kann der Apache dann auch HTT-P2. Wer noch Speedy verwenden möchte oder muss aus irgendwelchen Obscuren gründen, gebe es auch noch ein entsprechendes Speedy-Modul, aber will ich eigentlich auf einem neuen Maschine. Ist offiziell zu Gunsten von H2 deprecated? Wie schaut jetzt so eine Web-Server-Konfiguration aus? Ich muss Ihnen mal prinzipiell beibringen, das auf dem Port 443 hören soll. Surprise. Und, was habe ich da noch drauf stehen? Ja, das ist eh im Prinzip. Und das wäre, das wäre, nehmt Virtual Host verwenden wollen, das heißt, dass dieses SNI-Zeug, das wir auf einer IP-Adresse mehrere Host-Namen verwenden können. Mit SSL, TLS, TLS. Das wäre dann so ein Eintrag für den Virtual Host, das heißt, das wäre einer meiner, drehe ich mich ein bisschen, aber zu klein. Das relevante hier ist zunächst einmal das Servername, das heißt, ich sage immer mal unter diesen Namen bist du erreichbar, damit funktioniert diese ganze Name ins IP-Adressen zu Ordnungsgeschichte und ich kriege den Request in den Web-Server hinein. Ich drehe SSL auf, ich sage, wo meine Zertifikate liegen, wo die ganzen Intermediate-Zertifikate liegen, wo es Leaf-Zertifikate liegt. Und unten, der Text da unten ist genau das, was man sich ganz wunderbar und auch gleich draus probieren kann. Das ist so die gute Konfiguration, was Cyphers und Protokolle betrifft. Das gilt momentan noch. Wir arbeiten in einer abgedäteten Version von der Cyphersuite, die ist jetzt drei Jahre alt und hält aber immer noch gut. Also, da sind wir sehr glücklich darüber, aber es ist Zeit, in die Zukunft vorzubauen und da wirds demnächst ein Update kriegen. Wenn ihr euch damit beschäftigt und den Setup secure halten wollt, schaut's da auch immer wieder mal drüber. Wo man das Alter von mei Petscher kennt, ist halt, dass ich SSL V2 und V3 explizit abdrehen muss. Das ist jedes Mal noch. Aber das Praktische ist beim Apache, kann ich sagen, drehe mal alle Protokolle auf und dann drehe ich SSL V2 und V3 ab und wenn irgendwann ein magischer Systematministrator oder eine Administratorin hergeht und sagt, hey, ich update die jetzt Magic und jetzt kannst TLS 1.3 wirds automatisch aufgetreten. Das ist doch auch schon mal was. Das Setting so ist das Minimum, um die TLS Config ordentlich zu machen, dass es nicht copy-pastebar und läuft so. Ihr müsst schon den Rest vom Server auch noch konfigurieren. Wir konzentrieren uns da auf die TLS Settings. Gut, dann haben wir noch die Cypher order, dass der Server die Cypher order, die ich ihm abgeben abgeben, honorieren soll. Die SSL-Kompression drehen wir ab, weil nicht gut. Das haben wir auch schon gelernt und für tiefe Helmen kann ich dann auch noch ein bisschen Konfig angeben, damit wir da vernünftige Einstellungen haben bzw. wenn ich was Neues habe als 247. Das heißt, halbwegs aktuelle Distrehe sollte schon klappen. Deben Old Stebel muss man noch ein bisschen Hand anlegen. Das wäre eigentlich so mehr oder weniger die TLS Config? TLS Config, genau. Ich habe es noch mit SSL gelernt, das tut mir leid. Ja, du bist alt. Die TLS Config, für die Header? Für die Header gibt es auch was. Gern Breeتم´s Config sind Lore bye-bye. Das TLS SSL-Compression-Setting gibt es ab угaudio-druck vorüber, bin um die States non-probe, aber, ob das ist wiederalahmlich, Beispiel neu zu generieren oder in regelmäßigen Abständen neu zu generieren? Also, regelmäßigen Abständ neu generieren ist wahrscheinlich nicht wirklich notwendig. Wenn du 4096-Bitte-H-Parameter generierst, das dauert schon mal eine Zeit lang. Würde ich jetzt nicht allzu oft machen, ist aber auch nicht notwendig. Da wird es nicht die, die default in allen Apaches der Welt mitgeliefert werden. Da gab es die ... Ach, jetzt habe ich den ... Hanno, hilf mir. Logjam. Logjam, danke. Die Logjam-Attacke, wo du mit den Bekannten, die für Helmen-Parameter einen Teil der Attacke quasi als Pre-Computation schon vorausrechnen kannst. Und wenn du ... Das wird dir aber auch zum Beispiel beim SSL-Labs-Test bei der die für Helmen-Parameter-Reuse explizit ausgewiesen, ob du die Standard-Parameter verwendest oder eigene angegeben hast. Ja. Hey da. Haben wir schon das Modul dafür, haben wir schon eingebunden. Genau. Das heißt, ich muss ihn dann in meinen Config-Feil eigentlich nur noch hineinschreiben, dass er mir den Header auch beim ... Zum Kleinen hinausschicken muss. Genau. Das ist im Prinzip jetzt genau das, was du vorhin schon mal ... Genau, die Header haben wir vorher schon erklärt, was die tun. Da ist jetzt noch die Apaches-Syntax, wie ich es reinschreibe, mit Header Always Set in dem Fall, möchte ich Sie wirklich immer gesetzt haben, diese Header. Und nicht nur gelegentlich. Der Rest ist das gleiche, was schon bei der Erklärung drin einstand. Dasselbe gilt natürlich auch für die Security-Editor, die wir auch schon durchgekaut haben. Genau. Jetzt sind wir ja nicht schon im Wiederholungsbereich. Richtig, ich glaube. Das kennt ihr ja jetzt alle schon, und so könnt ihr es dann auch noch eintragen. Was wir natürlich unbedingt haben wollen. Ah, die Umleitung von HTTB auf HTTPS. Entschuldigung, das Upgrade von HTTB auf HTTPS. Natürlich, das Upgrade ist immer besser. Genau. Dafür brauchen wir noch ein zusätzliches Modul. Am einfachsten geht es mit ModElias. Wir gehen es auch mit ModRedirect machen. ModElias ist gut, funktioniert, tut, macht. Tut, ist, ist. Eine Zeile, eine Zeile, danke, wieder schauen, und alles ist erledigt. Was man dann vielleicht noch machen möchte, wenn man schon in der Konfigur rumfuhr wirkt. Wir haben es am Anfang gesehen, der recht gesprächige Apache, der gemeint hat, PHP 559, und was da noch nicht alles drauf war, muss ja nicht sein. Das heißt, wir können ihm über die Server-Tokens-Direktive auch noch an beibringen, dass er sich nur noch as Apache melden soll. Was euch aber nicht vor PHP schützt, das heißt, bei PHP müssen die PHP-Inne gehen und ihm das entsprechend abdrehen, wobei eigentlich PHP auf dem Server... Ja, will man nicht. Für Webmail braucht man es halt leider oft. Aber für den Fall, dass euer Web-Server dann noch sagt, X-Powered by PHP, und dann steht 5.4, irgendwas dabei, da gibt es nicht mal mehr Security-Updates. Vielleicht doch mal wieder abdrehen. Also so für die älteren Semester war das quasi die Apache-Konfig? Genau. Wenn man einen schnellen Web-Server haben will, nimmt man EngineX. Der kann alles, was man braucht. Empfehlenswert hier, wirklich die EngineX 1.9 Mainline, die ist so zu verwenden. Die Stable kann man auch machen, aber die 1.9er ist absolut stable, um sie zu verwenden. Bei EngineX ist Prinzipien sind solche Sachen Compile-Time-Options. Ich brauche das SSL-Modul mit reinkompiliert, sonst gibt es da nichts mit TLS. Das heißt auch historisch bedingt hier SSL und auf die ganz neuen loadable Modules zur Runtime von EngineX. Das sage ich jetzt noch nicht darauf ein. Das ist noch ganz frisch. Und wenn ich HTTP2 haben möchte, dann gibt es auch ein HTTPV2-Modul. Ganz toll. Beim EngineX schaut die Konfigtern für diese ganzen Sachen ähnlich aus. Im Server-Kontext gebe ich an, habe dort meine IP-Nummer, sage SSL, was bedeutet SSL und TLS natürlich wieder, und hatte die P2. Ich habe den Server-Namen, die Urteil auf die das Ding hört, habe wieder ein Zertifikat. Beim EngineX habe ich nicht 2 Angaben für das Zertifikat, sondern nur eine Zeile, wo ich das Chain-Zertifikat, also LEAF und Intermediate in einem Fall habe. Bei den SSL-Protokollen ist es beim EngineX so, da muss ich die, die ich unterstützen, also da muss ich hinschreiben, TLS101112 dafür ist per Default kein altes kaputtes SSL mehr aufgedreht. Aber wenn TLS13 dann spruchgreif wird, muss ich es halt von Hand auch hinschreiben. Die Cypher Suite ist wieder die Beta-Crypto Suite, die haben wir einfach da übernommen. Und die zusätzlichen Sachen eben, die Prefer-Cybersurf, Server-Cyphers, keine Sofersurfers, die eben, wo der Server die Reihenfolge vorgibt, das drehen wir auf. Für den Fall, dass ihr eben wieder DHE-Suite einsetzen wollt, könnt ihr hier mit SSL-DH-Param ein eigenes File angeben, wo ihr eure Selbstgenerierten, die für Helmen-Parameter drinnen habt. TLS Compression, wenn ihr euren EngineX aktuell gehalten habt, habt ihr damit kein Problem. Ihr könnt es gar nicht mehr aufdrehen. Das Schöne ist, ihr müsst es damit auch nicht abdrehen. Und da habe ich noch keine Alternative gefunden, nicht mehr Patches. Wenn ich Elliptic Curves verwende, dass ich zum Beispiel eine ganz bestimmte Curve verwende. Aber als jemand weiß, wie man das immer Patche macht, kommt es nachher zu mir wirklich interessieren. Ja, ich weiß, worauf du hinaus möchtest. Also das Test ist ja hier auf die nur 384 Kurve. Genau. Und nur die 256 Kurve ist mandatory to implement. Das ist richtig? Auf Kleinstdosen, die nur die 256 sprechen und dann... Im Prinzip, das wäre eine Möglichkeit, ja. Ich habe es jetzt hier als Beispiel verwendet mit du kannst das prinzipiell einstellen. Ich habe noch keinen Kleinstgefunden, der wirklich nur diese P2650 implementiert. Vielleicht, wenn dann irgendwann irgendwelche Internet-of-Syncs-Embedded-Devices kommen, die mal TLS1-2 sprechen und HDTP2, dann bin ich aber wirklich... 2020. Ja, oder so. Dann stelle ich das gerne auf die mandatory Kurve zurück. Alle mir bekannten Kleins unterstützen sowohl die 256 als auch die 3480. Du kannst aber mehrere angeben und dann handelt er die Kürgste aus. Das habe ich noch nicht wirklich probiert, aber lasst uns nachher da quatschen. Das interessiert mich. Und wenn ihr sehr, sehr viele kleine Dateien habt am Server, dann empfiehlt es sich die SSL Buffersize ein bisschen runter zu drehen. Das ist ein K. Kann man runterdrehen auf 4K, dann ist es so für HDTP-Streaming-Server oder so, die ganz, ganz kleine Pfeilsam. Geht das ein bisschen schneller, also die... Achtung, Marketingbegriff Time-to-First-Bite wird damit ein bisschen weniger. Security-Header, ihr kennt sie ja schon alle, ist prüfungsrelevant, wird dann abgeprüft nachher beim Bier. Da heißt es halt jetzt nicht Header-Ad, sondern Add-Header wie kreativ. Das kann man einfach mal übersehen. Die Options haben wir auch schon gesehen, funktioniert da ganz genau so wie vorher. Kann ich auch wieder hier bei EngineX im Server-Kontext angeben. Ja, funktioniert. Ganz toll. Das kann ich bei EngineX sogar im HDTP-Kontext, also übergeordnet für alle Server angeben. Und wenn ich einen ganz Faulen haben will, der so ein Server, der alles was per HDTP daherkommt, auf jeden Fall mit einem redirect auf meine richtige HDTP-S-Seite umleitet, könnte zum Beispiel so schauen. Selbst wenn jemand kommt, HDTP-äckige Klammer und literal IP wie 6-IP eingibt, also kommen wir nicht aus. Bei mir gibt es eine TLS. Server Tokens kann ich EngineX auftreten und dann meldet der sich auch nur ein bisschen. Wir haben jetzt noch 5 Minuten. Ja, ich habe jetzt mitbekommen, dass du mir die Zeit der Falsche hingegeben hast. Deswegen war ich vorhin so schnell durch. Ihr habt Zeit, Fragen zu stellen. Wer ist schon fertig implementiert? Mikrofonengel? Gibt schon Pläne, wenn das bei der Crypto.org abgedatet wird. Was sind die Header-Einstellungen? Die ganzen Header-Einstellungen haben wir bis auf HSTS noch gar nicht im Beta-Crypto drinnen. Da arbeiten wir daran, dass wir das dort hineinbekommen und im Zuge dessen hoffen wir, dass wir auch neue Cypher-Suite, die auch noch etwas besser auf HDTP2 reagieren, mit hineinbekommen. Wer mitmachen möchte, das Beta-Crypto-Projekt ist offen für Pool-Requests, das ist auch ein Github-Mirror, falls ihr dort ganz faul Pool-Requests machen wollen. Dann hätte ich nur eine billige, praktische Frage. Wenn ich auf OpenStreetMap.org und dann auf Share gehe, dann bekomme ich so ein iFrame Codeschnipsel, damit die kleine Map wo einbinden kann. Wenn ich aber jetzt diese Frame-Doppelpunkt-Dinai einstelle, dann geht das nicht mehr, oder? Hoffentlich nicht, ja. Sonst kannst du Sourcen angeben, die sagen von diesen Domains ist die Einfindung zulässig, ja. Okay, dann habe ich quasi nur mehr Skalierungsprobleme, aber das wäre ein erster Fix. Dankeschön. Skalierungsprobleme sind das erste Beweis für Erfolg. Sollte ich den Heder mit den Hörschöster-Zertifikate nicht irgendwie in der externen Konfigurations-Datei einbinden, weil das Zertifikat wird ja automatisch erneuert, weil letzten Crypt und so weiter, da muss dieser Herrscher natürlich auch sofort erneuert werden. Und der darf mir nicht in meiner Server-Config beliebig rumschmieren. Genau, wenn du HPKP einsetzen möchtest, ist an sich nicht unbedingt optimal wenn du Leaf-Zertifikate pinst. Etwas komfortabler und etwas weniger stressvoll wird es dann, wenn du beginnst Intermediate-Zertifikate zu pinnen und sagst, ich habe immer ein Intermediate von letzten Crypt zum Beispiel, ich würde mir immer noch zwei, drei Leaf-Zertifikate für Kies, die ich als Reserve auf der Seite habe, mit hineinschreiben, weil wenn so wie letztens geschehen die CA das Intermediate austauscht, hast du auch da mit einem Problem. Vielleicht auch noch eine zweite CA als Reserve. Da gibt es auch andere Leute im Raum, die der Meinung sind, das ist nicht ganz trivial um sich zweimal ins Knie zu schießen. Nicht diskutieren, Frage. Bei HPKP wird der Key gepinnt, das ist gar kein Problem mit den Zertifikaten eigentlich. Also auch mit letzten Crypt der Key bleibt eigentlich der gleiche. Wenn der Key der gleiche bleibt? Ja, genau, aber wenn der Key bleibt, wirft den ja nicht immer weg. Das ist eine Hoffnung, die wir haben. Dann habe ich eine Frage zu den SSL-Cypher-Check. Wenn man etwas anders als Webster bei OpenVPN oder so etwas hat, ist das ein Tool für Gefahrenung. Wenn jemand eines weiß, bewerft uns, damit wir freuen uns sehr darüber. Oder baut eines? Ich habe es ganz am Anfang gesagt, dass HTTPS schneller sein kann als HTTPS2, glaube ich sogar. HTTPS mit HTTPS2 ist schneller als HTTPS. Da musst du schon sehr konfigurieren, dass du das wieder langsamer kriegst. Klingt paradox, dass Initialen Handshakes sind natürlich mehr. Aber danach gewinnst du so viel. Genau, durch das Pipelining im HTTPS2 gewinnst du so dermaßen viel an Geschwindigkeit. Weil HTTPS1 oder 1.1 sind bis 8 bis 10 Mbit. Merkst du noch Unterschiede? Danach kannst du mit beliebig viel Bandbreite kommen. Das wird nicht schneller, weil du hauptsächlich mit Warten beschäftigt bist bei dem Protokoll. Durch das Wegfallen dieser Wartezeiten ist der Massiv schneller. Du brauchst also den alten Raspberry Pi noch nicht abgedreht? Hat beim Parlament auch gerecht. Davon? Da war noch Andy? Sonst noch fragen. Möcht jemand von euch Web-Server-Testen, die nicht publik erreichbar sind? Weil diese ganzen Tools gehen halt nur, wenn eure Website auch im Internet hängt. War das ein Ja, ich möchte interne Web-Server-Testen oder ich habe noch eine Frage? Wir haben noch eine Minute. Testend. Geht doch auf der Kommandlein. OpenSSL. Kann man? Ist gar nichts. Ich gehe da ganz schnell drüber. Ihr könnt euch anschauen, was aus eurem Cypher-String wirklich gemacht wird. In Abhängigkeit eurer Version von OpenSSL. Loen beholt Parzabugs in 098. Falls das noch jemand einsetzt. Max zum Beispiel, die haben 098 noch drauf. Das ist die aktuellste Version mit allen Cypher-String. Wenn man den Cypher-String bei der Krypto nimmt und in OpenSSL 098 wirft bleibt das übrig. Und das ist nicht einmal das, was übrig bleiben sollte. Wenn ihr aktuelles 1.0.2 verwendet, geht da mehr. Das Problem ist, die beiden, die bei 098 übrig bleiben, das sind ja ganz am Ende. Das letzte, was wir als Reserve von Julia W. oder wie auch immer man seinen Namen ausspricht. Ein cooles Tool, das heißt Cypher-Scan. Ein Rapper um OpenSSL herum, der macht dieses ganze Ding benutzbar. Recht komplex aufzurufen. Cypher-Scan, Großname. Liefert euch dann ganz genau die Details, so wie ihr es auch beim SSL-Labs-Test habt für die Cypher-Suite, die angeboten werden. N-Map ist super. Ist ganz super, wenn ihr 6.4 oder 7.0.2 verwendet. Auch da wieder aktuelle Version, weil ihr spielt es im Prinzip raus. Das heißt, ihr wollt es in dem Tool, die aktuellen Cypher und alles drinnen haben. Genau. Da gibt es eben das SSL-Zert und das Inam-Cypher-Skript drinnen. Das liefert dann auch ganz viel Output und so weiter. Nein, Entschuldigung. Ja, vielleicht ist jemand gut im Jahresarechnen von Hand. S-Client, auch damit, kann man immer noch einige Sachen testen. Das OCSP-Stabling, da haben wir gar nicht viel drüber geredet. Funktioniert. Und dann kann man sich auch anschauen, ob das geht. Und auch sehr, sehr gut wirklich, das ist fast der komplette SSL-Labs-Test, ist testssl.sh. Ist wirklich ein Shell-Skript. Keine wirklich relevanten Dependences außer Open-SSL. Was testet euch sehr, sehr viel? Und wenn ihr mutig seid, euch ein SSL-Lais zu bauen, das ist das volle Programm. Mit dem könnt ihr wirklich alles für intern machen. Als Konklusiv bleibt uns ein schlechter Wortwitz. Wenn bei euch bei so einem Test etwas mit F rauskommt, habt ihr Handlungsbedarf? Ja. Genauso wehtut das den Browser auch, wenn er das sehen muss. Sie haben gesagt, wie sollen Witze machen vorher? Genau. Deswegen als, noch die wir aus Österreich sind, bekennen wir uns und sagen Ja zu A. Schaut, dass ihr A's bekommt bei den Tests und fixt eurer Server. Danke schön.