https everywhere auf HIFI-FORUM.DE

+A -A
Autor
Beitrag
dqa327
Neuling
#1 erstellt: 15. Okt 2022, 11:19
Hallo. Ganz dringender Vorschlag.

Allein nur das Login mit https zu versehen ist heute absolut nicht mehr zeitgemäß, denn allein schon der Abruf von Profildaten dahinter
ist wieder über http und das ganze andere leider auch.
Weil auch das sind schützenswerte Daten, ebenso alles andere !! Die DSGVO gilt auch hier für und zwar uneingeschränkt.

Den oder die Forenadmins (für Serverpflege) bitte ich daher das unbedingt (und schnellstmöglich) umzustellen.

Was ist zeitgemäß und Konfiguration für "modern TLS Support" im Jahr 2022 für einen Webserver/Forenserver mit Logins und Nutzerprofilen :

- https (TLS, Serversoftware mit http/2, ALPN over TLS) über die gesamte Webseite, die gesamte Subdomain eingeschlossen.
- der http-host auf Port 80 gibt bitteschön nur noch einen Status aus : "301 moved permanently" -> https full host autoredirect.
(aber keinerlei Inhalte mehr ansonsten)
- Wenn Port 80 dann bitte auf befugte IP eingeschränkt (wobei ne Wartung über SSH erfolgen sollte eigentlich, und auch da
nur für befugte IP oder Domain, denn irgendwann muss man Zertifikate für den Webserver mal austauschen gelegentlich)
- Ein Serverzertifikat mit aktiver DNSCAA policy drin - befugter Aussteller, das unterbindet Fakezertifikate anderer Aussteller.
- Nur TLS1.2 und TLS1.3 (aktuellstmöglicher TLS-Stack, je nach Serversoftware), keine älteren Protokolle.
- nur verfügbare ECDHE Suiten bei TLS1.2 (GCM, CCM Suiten), sonst nichts mehr. Von CBC-Suiten sollte man ebenfalls
Abstand nehmen, Prüfsummen nur mit SHA-2. Kein plain DHE/DH/EDH (speziell das kostet alles Performance beim Handshake
und ist angreifbar - siehe "Racoon Attacke")
- Starke Suiten nach vorne priorisiert ("strong policy") für Robust TLS.
- HSTS Sitzungsintegrität aktiviert, Sessionlänge mind. 1 Jahr (das ist in Sekunden anzugeben im Responseheader) oder länger, für ganze Subdomain.

Vielen Dank im Voraus und das ist sicherlich im Sinne aller Forenuser hier !

Mfg
Bernd Pfeiffer
Bayern/Forchheim.
Otis_Sloan
Inventar
#2 erstellt: 15. Okt 2022, 12:00
Ich unterstütze den Antrag
höanix
Inventar
#3 erstellt: 15. Okt 2022, 13:25
Und wozu dieser Thread, könnt ihr nicht lesen?

HTTPS für das gesamte Forum

Da steht doch drin das die Umstellung seit Jahren in Arbeit ist.
Hüb'
Moderator
#4 erstellt: 15. Okt 2022, 15:24
Aufgrund von gleich mehrfacher Redundanz geschlossen. Die Suchfunktion sei nachdrücklich empfohlen.
Suche:

Anzeige

Aktuelle Aktion

Partner Widget schließen

  • beyerdynamic Logo
  • DALI Logo
  • SAMSUNG Logo
  • TCL Logo

Forumsstatistik Widget schließen

  • Registrierte Mitglieder925.513 ( Heute: 2 )
  • Neuestes Mitglied*plaut*
  • Gesamtzahl an Themen1.550.305
  • Gesamtzahl an Beiträgen21.521.523