Sicherer E-Mail-Dienste-Anbieter

Ähnliche Dokumente
Sicherer -Dienste-Anbieter

DNSSEC, YET! DNSSEC und DANE einfach implementieren! Armin Pech Babiel GmbH. dig

DNSSEC. Christoph Egger. 28. Februar Christoph Egger DNSSEC 28. Februar / 22

HTTPS Checkliste. Version 1.0 ( ) Copyright Hahn und Herden Netzdenke GbR

DNSSEC, YET! DNSSEC und DANE einfach implementieren! Armin Pech Babiel GmbH dig

Hands-on DNSSEC. Armin Pech Babiel GmbH. dig

Externer DNS. Technologien und Herausforderungen. Amanox Solutions AG Speichergasse 39 CH-3008 Bern

DynDNS für Strato Domains im Eigenbau

DA(e)NEn lügen nicht. Patrick Ben Koetter Carsten Strotmann

DNSSEC und DANE. Dimitar Dimitrov. Institut für Informatik Humboldt-Universität zu Berlin Seminar Electronic Identity Dr.

DNSSEC. Überblick. ISPA Academy. ISPA Academy. Lessons learned Wie kann ich DNSSEC verwenden? DNSSEC in.at. in der Praxis

von Holger Beck Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Am Fassberg 11, Göttingen

Ein Überblick über Security-Setups von E-Banking Websites

Netzwerksicherheit Übung 5 Transport Layer Security

Apache HTTP-Server Teil 1

Sichere für Rechtsanwälte & Notare

Einrichtung von Mozilla Thunderbird

PK TLS-Check am Langversion/Einführung:

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Anwendungen. Webserver mit HTTPS absichern Unterschreiben und Verschlüsseln von s

Einführung von DNSSEC und DANE im Bayerischen Hochschulnetz (BHN) Sven Duscha, Bernhard Schmidt, Daniel Feuchtinger und Helmut Reiser

DNS vs. Sicherheit. the long story. equinox. CryptoCon15, Leipzig ...

IT-Sicherheit Kapitel 11 SSL/TLS

Steigerung der sicherheit in Bayern mit DNSSEC und DANE. Sven Duscha

Rechnernetze Praktikum Versuch 8: Zertifikate, Sicherheit in öffentlichen Netzen

Kryptographische Anonymisierung bei Verkehrsflussanalysen

Netzwerksicherheit Übung 5 Transport Layer Security

Sicherheitsanalyse der TLS-Konfiguration von SMTP-Installationen. Bachelorarbeit. Thomas Maier

DNS Grundlagen. ORR - November jenslink@quux.de. DNS Grundlagen 1

DNSSec-Workshop. Chemnitzer Linux-Tage Marcus Obst Heiko Schlittermann. schlittermann. Professur für Nachrichtentechnik

Operatorwechsel bei DNSSEC-Domains

SMTP Sicherheit mit DANE sys4.de

DNSSEC im (Münchner) Wissenschaftsnetz

Intern: DNSSec Secure DNS

DNS 2 DNSSEC Hintergründe

IIS 7.5 mit Exchange Server 2010 OWA FBA Intern und Extern ueber Forefront TMG

Ist das so mit HTTPS wirklich eine gute Lösung?

DNSSEC Workshop. Armin Pech Babiel GmbH. dig nachträglich bearbeitete Version

Einrichtung von VPN für Mac Clients bei Nortel VPN Router

Anwendungsbeispiele Sign Live! Secure Mail Gateway

WeMaD. Präsentation von. Thomas Hühn WeMaD 1

Enigmail Konfiguration

Apache HTTP-Server Teil 1

STRATO Mail Einrichtung Microsoft Outlook

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Public Key Infrastructure https-smtps-pop3s etc Ver 1.0

DNSSEC - Update. von. Holger Beck. Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen. Am Fassberg 11, Göttingen

HostAP WPA Workshop. 27. Dezember 2004 Jan Fiegert,

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Sichere mit OpenPGP und S/MIME

FAQ IMAP (Internet Message Access Protocol)

Leitfaden für den -Dienst

ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote

SSL/TLS: Ein Überblick

FL1 Hosting Technische Informationen

Webseiten mit HTTPS bereitstellen und mit HSTS und HPKP sichern

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

SSL-Protokoll und Internet-Sicherheit

Die Konfiguration des Mozilla Thunderbird Mail-Clients an der UniBwM

X.509v3 Zertifizierungsinstanz der Universität Würzburg

HOB WebSecureProxy als SSL-Gegenstelle für Clients

Einrichtung eines -konto mit Thunderbird

Konfiguration Zentyal 3.3 Inhaltsverzeichnis

DANE Securing Security sys4.de

Anleitung zum Prüfen von WebDAV

Verschlüsselte s: Wie sicher ist sicher?

Exchange-Server - Outlook 2003 einrichten. 1. Konfiguration Outlook 2003 mit MAPI. Anleitung: Stand:

Radius Online-Campus. PC-technische Voraussetzungen

Lightning Talk: Kurzvorstellung DNSSEC

OWIS Exchange Hosting:

Testbed: DNSSEC für DE

Signierung und Verschlüsselung von s mit einem S/MIME Zertifikat

JULIA MailOffice Addin für Microsoft Outlook. Meik Kreyenkötter

Für die c-entron Versionen gilt immer: aktuellste Version aus dem Download-Bereich verwenden!. 3. isuite Outlook GFI Max Connector...

SSL/TLS und SSL-Zertifikate

Mail-Signierung und Verschlüsselung

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen

Wiederholung: Beginn

Digitale Identitäten in der Industrieautomation

Ein neues Outlook Konto können Sie im Control Panel über den Eintrag Mail erstellen.

sslstrip und HSTS Sven Schleier OWASP Stammtisch München, 18. Februar 2014 sslstrip und HSTS sslstrip und HSTS Sven Schleier Der Angriff

ISA Server Exchange RPC over HTTPS mit NTLM-Authentifizierung

Erweiterung der Autokonfigurationsmethode für Rich Communications Suite enhanced (RCS-e) durch die COCUS AG

Eine Anleitung, wie Sie Mozilla Thunderbird 2 installieren und konfigurieren können. Installation Erstkonfiguration... 4

DNSSEC für Internet Service Provider. Ralf Weber

Eco DNSSEC Workshop. DNSSEC Vertrauen ins DNS. Lutz Donnerhacke dig NAPTR e164.arpa. +dnssec DNSSEC/1

Windows Server 2012 RC2 konfigurieren

Schritt 1: Auswahl Schritt 3 Extras > Konten Schritt 2: Konto erstellen Konto hinzufügen klicken

News RSS-Export. mit tt_news und pmk_rssnewsexport. Alexander Mürb, Arthur Palmer TYPO3 User Group Stuttgart

Installation der Demoversion vom M-Doc AutoSigner

Installation Microsoft Lync 2010 auf Linux

Exchange Verbund WOLFGANG FECKE

Titel. App-V 5 Single Server Anleitung zur Installation

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

-Konten für Studierende und Zugriffswege auf die Mail-Systeme der Hochschule Rhein-Waal

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk

Externe Abfrage von für Benutzer der HSA über Mozilla-Thunderbird

Electronic Systems GmbH & Co. KG

Wichtige Informationen und Tipps zum LüneCom Mail-Server 04

POP3 über Outlook einrichten

Transkript:

Sicherer E-Mail-Dienste-Anbieter basierend auf Domain Name System Security Extension (DNSSec) & DNS-based Authentication of Named Entities (DANE) Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 1

Aufgabenstellung Gesicherte DNS-Abfragen (DNSSec) Vertrauenswürdige Zertifikate Sichere Kryptographie Obligatorische Verschlüsselung (DANE/TLSA) Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 2

E-Mail: DNS-Cache-Poisoning und Umleitungsangriffe Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 3

E-Mail: Downgrade Angriffe, MITM Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 4

DNS-based Authentication of Named Entities (DANE) Baut auf DNSSec auf und nutzt TLSA Records (Transport Layer Security RR) Pinning von Zertifikaten oder Public-Keys (mittels TLSA-Records) DNSSec bietet zwei Varianten von Authenticated Denial of Existence Unterbindet Man-in-the-Middle und Klartext-Downgrade Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 5

DNS & DNSSec Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 6

DNS Angriffspunkte Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 7

DNSSec DNS Security Extension Integritätsschutz Asymmetrische Kryptographie RSA Signaturen SHA2 Hashes Neue Resource-Record-Typen RRSIG Signature Resource Record enthält die kryptographische Signatur zu einem Record DNSKEY DNS Key Resource Record enthält den Public Key, wird von Resolver zur Signatur-Verifikation genutzt DS Delegation Signer Resource Record (in der darüber liegenden Parent-Zone) enthält den Hash eines DNSKEY (typischerweise des Key Signing Keys) Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 8

DNSSec Zusammenwirken der Einträge TLD:.ovh Domain Owner Key Signing Key {KSK: private-key} Zone Signing Key {ZSK: private-key} signiert signiert signiert Zonendatei:.ovh ovh. DNSKEY <KSK> ovh. DNSKEY <ZSK> ovh. RRSIG...Signatur... it-sec.ovh. NS ns1.it-sec.ovh it-sec.ovh. NS ns2.it-sec.ovh it-sec.ovh. RRSIG...Signatur it-sec.ovh. DS <HASH KSK> it-sec.ovh. RRSIG...Signatur... RRSIG DNSKEY DS verweist auf Signature Resource Record enthält kryptographische Signatur zu einem Record DNS Key Resource Record enthält Public Key, Resolver nutzt diesen zur Signatur-Verifikation Delegation Signer Resource Record enthält den Hash eines DNSKEY der die Sub-Domain signiert Key Signing Key {KSK: private-key} signiert Zonendatei: IT-Sec.ovh it-sec.ovh. DNSKEY <KSK> it-sec.ovh. DNSKEY <ZSK> it-sec.ovh. RRSIG...Signatur Domain Owner it-sec.ovh Zone Signing Key {ZSK: private-key} signiert www.it-sec.ovh. A 104.46.42.66 www.it-sec.ovh. RRSIG...Signatur Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 9

Beispiel: mail.it-sec.ovh Analyse mit dnsviz.net URL: http://dnsviz.net/d/mail.it-sec.ovh/dnssec/ Hash-Funktion: SHA256 Key-Signing-Keys: RSA 2048 Zone-Signing-Keys: RSA 1024 Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 10

Beispiel: DNSSec Query Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 11

DNS Unterdrückung von Records (z.b. TLSA, ) DNS Request ohne Antwort -> NXDOMAIN Was wenn jemand absichtlich Antwort unterdrückt? > DNSSec deckt das auf! Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 12

Authenticated Denial of Existence: NSEC NXDOMAIN Die angefragte Domain / angefragter Eintrag existiert nicht NSEC Records = Next Secure, bilden verkettete Liste Zone: it-sec.ovh Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 13

NSEC Zone Walking Problem: Zone-Walking möglich egal? Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 14

Authenticated Denial of Existence Problem: Zone-Walking, z.b. in der Zone.at oder der Zone.br NSEC3 = Next Secure v3 oder NSEC Hashed Autenticated Denial of Existence Anstatt im Klartext lesbarer NSEC Einträge werden Hashes verwendet NSEC NSEC3 NSEC3PARAM Next Secure Resource Record Next Secure v3 (oder NSEC Hash) Resource Record NSEC3 Parameter Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 15

NSEC Hashed Autenticated Denial of Existence Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 16

DNSSec - Aktivierung DNSSec fast 10 Jahre alt, alle gängigen BIND-Versionen geeignet Neue Bind-Version (z.b. v9.9.x) jedoch deutlich komfortabler BIND als iterativer Resolver beherrscht DNSSec Konfiguration (aktivieren) genügt ROOT-Key im Paket BIND als autoritativer Nameserver für Zone Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 17

DNSSec Resolver do Flag (DNSec unterstützt) ad Flag Authenticated Data NOERROR (Fehlschlag wäre: SERVFAIL) RRSIG Signature RR 5 = RSA/SHA1 (8 = RSA/SHA256) Ablaufdatum Signatur Signaturzeitpunkt 6003 = DNSKey Key-Tag Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 18

DNSSec fähiger autoritativer Server Inline-Signing Modus für automatisierten DNSSec-Betrieb Vom Admin verwaltete Zonen-Files ohne RRSIG, DNSKEY, NSEC, NSEC3 Einträge dnssec-keygen für Generierung von Key-Signing-Keys und Zone-Signing-Keys Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 19

DNSSec fähiger autoritativer Server, Zonen-Konfig Key-Directory Inline-Signing maintain -> auto KeyChange Zone-Transfer (AXFR) zu den Secondary Nameservern Mittels Transaction Signatures (TSIG) per shared Secret abgesichert beinhaltet alle DNSSec Einträge Am Secondary daher kein Schlüsselmaterial Hidden Master möglich Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 20

DNS Zonen-Einträge Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 21

DNS Zone Binärfile.signed RRSIG DNSKEY NSEC3 NSEC3PARAM Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 22

Re-Signing, Schlüsselwechsel Signatur der Zonen-Einträge: Default 30 Tage gültig, Re-Signing alle 7½ Tage Konfiguration mittels sig-validity-interval Auto-DNSSec maintain: Key-Verzeichnis wird überwacht, ZSK-Schlüsselwechsel (halb)automatisch Ablaufdatum festlegen Successor erstellen Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 23

Beispiel: Wechsel des Zone Signing Key (ZSK) Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 24

DNSSec - Aktivierung Erzeugung Schlüssel, Signatur der Zone, Replikation auf sekundäre Server Eintragung des KSK in der darüber liegenden Zone mittels Domain-Registrar Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 25

Best Practise und Learnings Inline-Signing und automatisches Key-Maintaining nutzen RSA / SHA256 nutzen RSA verpflichtend unterstützt DSA möglich, nicht Pflicht, nutzt niemand ECDSA im Kommen, Unterstützung noch nicht breit genug SHA256 breit unterstützt, SHA1 wird ausgephast ZSK: 1024 bit -> kurze Signaturen, nicht langfristig sicher, NIST: 1 Jahr KSK: 2048 bit -> ausreichend sicher für ein paar Jahre, NIST: 5 Jahre KeyGen: Entropie nötig! Auf vservern HAVEGED nötig! Hardware Volatile Entropy Gathering and Expansion Daemon Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 26

DNS-Check mxtoolbox.com Allgemeiner DNS-Check Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 27

DNSSec-Check dnscheck.iis.se Summary Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 28

DNSSec-Check dnscheck.iis.se Details Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 29

DNSSec-Debugger dnssec-debugger.verisignlabs.com Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 30

Analyse mit dnsviz.net Grafische Darstellung Zeigt Zone-Delgation Grafische Veranschaulichung der Key-/Trust-Hierarchie Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 31

DANE DNS-based Authentication of Named Entities (DANE) Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 32

Rückblick: SMTP Transport, Angriffe Umlenkung, MITM, Downgrade, Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 33

DNS-based Authentication of Named Entities (DANE) Existenz des TLSA-Records und NSEC/NSEC3 verhindern Downgrade Inhalt des TLSA-Records pinnt Zertifikate oder pinnt CAs oder pinnt PublicKeys Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 34

DANE baut auf TLS auf -> benötigt Zertifikate Könnten Self-Signed sein Jedoch besser aus getrusteter CA, da DANE noch Nischen-Technologie Kostenfrei Domain-Validated (DV) TLS-Server Zertifikate: StartCom Ltd.: https://www.startssl.com/ ISRG (Internet Security Research Group) & Mozilla: https://letsencrypt.org/ WoSign: https://www.wosign.com/english/freessl.htm Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 35

Zertifikat ausstellen: Typische Vorgangsweise RSA Schlüsselpaar generieren CSR erstellen CSR an CA übermitteln Zertifikat erhalten Zertifikat + CertChain installieren Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 36

Alternative: Automatisierter DV-Vorgang Python Client Zertifikatserneuerung vollautomatisch alle 60 Tage CSR-Nutzung möglich -> Schlüsselpaar kann gleich bleiben Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 37

TLSA Record für DANE Transport Layer Security Protocol DNSSec Voraussetzung TLSA RR Pinning Zertifikat oder CA Zertifikats-Hash oder PubKey-Hash Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 38

DANE: PubKey Hash -> TLSA Record Im Zonen-File der Domain wird ein TLSA-Record ergänzt Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 39

Absicherung: SMTP, HTTPS, IMAPS, POP3S Preisfrage: Warum Hash überall gleich? Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 40

Komfortable Alternative: TLSA Record Generator Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 41

Zertifikatswechsel Erneuerung der TLSA-Records? Wenn gleiches Schlüsselpaar (CSR) weiterverwendet wird nicht nötig Ansonsten: TTL beachten, Gültigkeitszeitraum im Auge behalten Mehrere TLSA Records parallel für gültig erklären (Überlappender Zeitraum) Let s Encrypt: Nicht den Default-Automatismus nutzen, sondern CSR Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 42

Prüfung TLSA-Record Check mit: dane.sys4.de Check mit dig Mehr Checks später (MailServer) Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 43

Mailserver MTA, LDA, MDA, Anbindung MUA, WebMail, Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 44

Realisierung CentOS 7.2 Debian 8.2 BIND 9.9.4 / 9.9.5 Postfix 2.11.3 Dovecot 2.2 Apache 2.4.10 PHP 5.6.13 MySQL 5.5.46 RoundCube 1.1.3 Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 45

Mailserver mit DANE Alternativen? Postfix 2.11 erst ab Debian 8 bzw. Ubuntu 14.04 LTS verfügbar < 2.11 unter RHEL, CentOS, SLES, evtl. (zuverlässige) Drittanbieter-Pakete nutzen?! EXIM ab v4.85 Weder in Debian noch Ubuntu LTS noch CentOS noch SLES verfügbar SendMail aktuelle 8.15.2 immer noch kein DANE Microsoft Exchange kein DANE Drittanbieter-Erweiterung: CryptoFilter Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 46

Postfix-Konfiguration Allgemein: Mailserver-Konfiguration grundsätzlich (beim ersten mal) knifflig Zertifikat + Chain konfigurieren SSL/TLS konfigurieren für MTA: Default-Config (Cipher) schlechte Crypto besser als gar keine Krypto (Plaintext-Fallback) Submission-Port: Mandatory TLS, nur gute Cipher-Suiten erlaubt Authentifizierung nur mit STARTTLS und am Submission-Port zulassen DANE: straight forward Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 47

Verbreitung von TLS und DANE bei MTA s TLS: siehe z.b.: Google Transparency Report DANE: Starker Trend in.de Dzt. aber nur vereinzelt Mail.de, posteo.de + viele Ankündigungen! Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 48

Mailserver-Studie: SSL / TLS-Protokollversionen Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 49

Mailserver-Studie: Cipher-Suite Unterstützung Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 50

Mailserver-Studie: eingesetzte Zertifikate ssc = self signed Cert local = unbekannte CA ssc chain = CertChain fehlt Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 51

Dovecot: POP3 & IMAP Setup straight forward Zertifikat konfigurieren Nur TLS zulassen, Cipher-String gemäß BetterCrypto.org CipherString B Dovecot stellt SASL (Simple Authentication and Security Layer) für Postfix bereit Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 52

Mailserver-Checks Basis-Check: MxToolbox.com Versand & Empfang: CheckTLS.com Detailierte Analyse per Reply-Mail Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 53

CheckTLS.com Mail-Empfang Check Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 54

OpenSSL s_client -starttls Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 55

Prüfung: DH-Parameter, 2048bit? Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 56

DANE-Check PostTLS-Finger Mail-Empfangs- Check Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 57

DANE-Empfangs-Check: dane.sys4.de Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 58

weitere Details dane.sys4.de Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 59

Mailserver Check: Versand mit DANE Gegenstelle mit DANE Unterstützung erforderlich, z.b.: posteo.de Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 60

IMAPS, POP3S Test Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 61

TestSSL.sh Script Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 62

Web-Mail Apache, PHP, MySQL, RoundCube WebMail Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 63

Plattform: LAMP-Stack auf Debian 8.2 Apache 2.4.10 Mod SSL Mod Headers Mod Rewrite PHP 5.6.13 MySQL 5.5.46 Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 64

Apache: SSL-Konfiguration Cipher-String: Anlehnung an BetterCrypto.org, jedoch selbst gebaut Inkonsistenzen im BetterCrypto-Guide CipherString B aufgedeckt Zertifikat + Chain konfiguriert OCSP-Stapling aktiviert HTTP Strict Transport Security (HSTS) HTTP Public Key Pinning (HPKP) Kapitel (von mir) nun in BetterCrypto enthalten Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 65

Apache vhost SSL Config Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 66

Cipher-Suite: BetterCrypto CipherString B Enthält Camellia Priorisiert DH gegenüber ECDH Präferiert AES256 gegenüber AES128 Unterstützt keine Java 1.7 Clients Ist sehr lang: Mein Cipher-String: Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 67

Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 68

Client Kompatibilität Test mit Qualys SSL Labs Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 69

OCSP Stapling Online Certificate Status Protocol (OCSP) Response im TLS-Handshake Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 70

HTTP Strict Transport Security (HSTS) Sorgt für das + beim SSLLabs.com WebServer TLS-Check Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 71

HTTP Public Key Pinning (HPKP) als Ergänzung zu DANE DANE für WebSites (HTTPS) möglich aber nicht gebräuchlich Trust on First Use (TOFU) Prinzip Base64 encodierter Hash des Public-Key des Zertifikates Cert PubKey-Pinning CA PubKey Pinning Reserve-Key! Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 72

HTTP Public Key Pinning Hash erzeugen OpenSSL WebService https://report-uri.io Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 73

Prüfung: HTTP Key Pinning Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 74

RoundCube Webmail Download (Sourcen) von SourceForce (kein Paket für Debian 8.2 im Repo) Einrichtung mit Web-Installer gemäß Doku Greift über LocalHost auf IMAP zu Versand: Nutzt Postfix über LocalHost Adressbuch & User-Settings: mysql-db Straight Forward, siehe Doku Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 75

RoundCube WebMail Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 76

Checks: Qualys SSL Labs SSLLabs.com Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 77

Qualys SSL Labs Server-Zertifikat 4096bit RSA SHA256 OCSP verfügbar Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 78

Qualys SSL Labs Protokolle Cipher Suites Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 79

Qualys SSL Labs Protokoll Details OCSP Stapling aktiviert HTTP Strict Transport Security HTTP Public Key Pinning Sichere Cipher-Suiten Nur TLS, kein SSL aktiv Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 80

A-Sit Firefox PlugIn Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 81

SIDN Labs HTTPS DANE Check Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 82

DNSSec & DANE Validator PlugIn Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 83

Sicherer E-Mail-Dienste-Anbieter basierend auf Domain Name System Security Extension (DNSSec) & DNS-based Authentication of Named Entities (DANE) Paper als Download (PDF): https://hitco.at/blog https://hitco.at/blog/sicherer-e-mail-dienste-anbieter-dnssec-dane/ Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 84

Quellen Abbildungen siehe Abbildungsverzeichnis sowie Literaturverzeichnis im zugehörigen Dokument: Sicherer E-Mail-Dienste-Anbieter (DNSSec+DANE) HowTo.pdf Besonderer Dank an: SBA Research, insbesondere Aaron Zauner Heise-Verlag BetterCrypto.org Acidx s Blog Markus Klein University Amsterdam Und allen anderen Quellen (siehe o.a. Dokument) Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend auf DNSSec & DANE 85

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback