In der Nacht vom 19. auf den 20.11.2016 haben die Systemadministratoren
der Hostsharing eG die TLS-Konfigurationen auf den Servern aktualisiert
und schwache Verschlüsselungsverfahren deaktiviert. Betroffen von dieser
Maßnahmen waren die Web-, Mail- und FTP-Server sowie die
Secure-Shell-Konfiguration (SSH).
Die Aktualisierung der TLS-Konfiguration ist eine Routinemaßnahme, die
mehrmals im Jahr durchgeführt wird und der Sicherheit dient. Sie ist
nötig, da immer wieder neue Verschlüsselungsverfahren eingeführt und
bestehende verbessert werden. Häufig werden dabei auch veraltete
Algorithmen deaktiviert, da sie Schwachstellen enthalten und nicht mehr
sicher sind.
Aufgrund der [redundant ausgelegten Infrastruktur}(https://www.hostsharing.net/features/hochverfuegbare-infrastruktur/) von Hostsharing und
Hot-Standby konnte die Umstellung ohne Downtime durchgeführt werden.
Das Vorgehen bei diesen regelmäßigen Wartungsarbeiten ist in mehrere
Schritte gegliedert.
- Die Nutzer werden über den Zeitpunkt des Updates und die Art der
Aktualisierung informiert. Dies erfolgt in der Regel eine Woche
im Voraus.
- Die unsicheren Ciphers werden ermittelt und die notwendigen
Aktualisierungsschritte festgelegt.
- Die Konfiguration der Test-Systeme wird angepasst.
- Es werden Tests gegen einschlägige Prüfwerkzeuge gefahren.
- Anschließend wird getestet, ob gängige Clients mit der neuen
Konfiguration zurecht kommen.
- Falls sich in den Tests keine Probleme zeigten, wird die neue
Konfiguration auf den Produktivsystemen ausgerollt.
- Danach warten die Systemadministratoren auf Nutzer-Feedback, um
zeitnah eingreifen zu können oder den Nutzern bei Problemen
behilflich zu sein. So musste man damit rechnen, dass sehr veraltete
Clients, wie zum Beispiel Outlook 2000, nicht mit den neuen
Verschlüsselungsverfahren zurecht kommen.
Die Umstellung verlief für die Mitglieder der Hosting-Genossenschaft und
ihre Kunden völlig reibungslos.