Problemlose Aktualisierung der TLS-Konfiguration

erschienen am 29.11.2016 – Technik, Sicherheit

In der Nacht vom 19. auf den 20.11.2016 haben die Systemadministratoren der Hostsharing eG die TLS-Konfigurationen auf den Servern aktualisiert und schwache Verschlüsselungsverfahren deaktiviert. Betroffen von dieser Maßnahmen waren die Web-, Mail- und FTP-Server sowie die Secure-Shell-Konfiguration (SSH).

Die Aktualisierung der TLS-Konfiguration ist eine Routinemaßnahme, die mehrmals im Jahr durchgeführt wird und der Sicherheit dient. Sie ist nötig, da immer wieder neue Verschlüsselungsverfahren eingeführt und bestehende verbessert werden. Häufig werden dabei auch veraltete Algorithmen deaktiviert, da sie Schwachstellen enthalten und nicht mehr sicher sind.

Aufgrund der [redundant ausgelegten Infrastruktur}(https://www.hostsharing.net/features/hochverfuegbare-infrastruktur/) von Hostsharing und Hot-Standby konnte die Umstellung ohne Downtime durchgeführt werden.

Das Vorgehen bei diesen regelmäßigen Wartungsarbeiten ist in mehrere Schritte gegliedert.

  1. Die Nutzer werden über den Zeitpunkt des Updates und die Art der Aktualisierung informiert. Dies erfolgt in der Regel eine Woche im Voraus.
  2. Die unsicheren Ciphers werden ermittelt und die notwendigen Aktualisierungsschritte festgelegt.
  3. Die Konfiguration der Test-Systeme wird angepasst.
  4. Es werden Tests gegen einschlägige Prüfwerkzeuge gefahren.
  5. Anschließend wird getestet, ob gängige Clients mit der neuen Konfiguration zurecht kommen.
  6. Falls sich in den Tests keine Probleme zeigten, wird die neue Konfiguration auf den Produktivsystemen ausgerollt.
  7. Danach warten die Systemadministratoren auf Nutzer-Feedback, um zeitnah eingreifen zu können oder den Nutzern bei Problemen behilflich zu sein. So musste man damit rechnen, dass sehr veraltete Clients, wie zum Beispiel Outlook 2000, nicht mit den neuen Verschlüsselungsverfahren zurecht kommen.

Die Umstellung verlief für die Mitglieder der Hosting-Genossenschaft und ihre Kunden völlig reibungslos.