Konfiguration der Cipher Suites: Kopieren Sie nicht diese falsche Empfehlung!

String oder Multi-String? BSI, CIS und Microsoft geben unterschiedliche Empfehlungen für die Konfiguration von TLS-Verbindungen. Welchem Ratschlag sollten Sie folgen und welchem auf keinen Fall? Wir haben die Vorgaben getestet und kommen zu einem erstaunlichen Ergebnis.

Warum ist eine Cipher Suite so wichtig?

Eine TLS Cipher Suite ist eine Kombination von Verschlüsselungs-, Authentifizierungs- und Integritätsalgorithmen, die in der TLS-Protokollfamilie (Transport Layer Security) zum Einsatz kommt. Hierdurch gewährleistet man die Sicherheit der Kommunikation über das Internet. Denn: Alte Algorithmen sind angreifbar und damit die Verbindung trotz Verschlüsselung vulnerabel.

Es gibt eine Vielzahl von TLS Cipher Suites, die unterschiedliche Sicherheitsniveaus bieten. Durch die Auswahl einer bestimmten Cipher Suite können Sie die Sicherheitsmerkmale und damit das Sicherheitsniveau einer TLS-Verbindung festlegen.

Wenn Sie Ihre Sicherheitspräferenzen definieren möchten oder von der Abteilung “IT-Sicherheit” Vorgaben bekommen, müssen Sie diese über eine technische Konfiguration implementieren. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt beispielsweise in seiner technischen Richtlinie BSI TR 03116 die konkret zu verwendenden Algorithmen und deren Reihenfolge. Leider ist aktuell kein System “ab Werk” so konfiguriert, dass diese Richtlinie erfüllt wird.

Ist die Auswahl der Cipher Suite bewusst zu konfigurieren?

Ja! Hierzu gibt es zahlreiche Hilfestellungen: Organisationen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Center for Internet Security (CIS) empfehlen

    • die Konfiguration und Beschränkung der verfügbaren TLS Cipher Suites,
    • der zu verwendenden Hash- und Verschlüsselungsalgorithmen
    • sowie die Reihenfolge ihrer Anwendung.

Damit wird die Sicherheit beim Transport von Informationen über eigentlich unsichere Netzwerke deutlich erhöht! Durch die Festlegung bestimmter Cipher Suites können Sie Sicherheitsstandards einhalten und Schwachstellen minimieren, was zu einem verbesserten Schutzniveau gegen potentielle Angriffe führt.

Wie konfiguriert man die Cipher Suites?

Die Liste der zu verwendenden Cipher Suites wird in Windows über die Registry konfiguriert und besteht aus einer Reihe von Cipher-Suite-Namen. Diese Namen repräsentieren die Verschlüsselungsalgorithmen und Schlüsselaustauschmethoden, die zur Sicherung der Kommunikation zugelassen sind.

Die Reihenfolge dieser Liste ist wichtig: Windows versucht, die Cipher Suites in der angegebenen Reihenfolge (der sogenannten “Cipher Suite Order”) zu verwenden, beginnend mit der Cipher Suite ganz oben.

String oder Multi-String: Was ist korrekt?

Bei einem Penetrationstest oder bei einem Check der Systemhärtung mit einem Hardening-Tool wird unter anderem überprüft, ob die Liste der Cipher Suites kombiniert als einzelner String oder als Multi-String gespeichert sind.

Denn: Während Microsoft bei seinen Konfigurationsempfehlungen String und Multi-String als gleichwertig ansieht, schreibt der CIS Microsoft IIS Benchmark explizit einen Multi-String vor.

Was ist im Sinne einer sicheren SSL/TLS-Konfiguration richtig und führt zur gewünschten Konfiguration? Die Antwort: ein einziger String!

Das heißt, die Empfehlung des CIS ist (Stand Mai 2024) falsch und führt zur Anwendung ungewünschter Cipher Suites!

Warum ist der Datentyp  “String” besser als ein “Multi-String”?

Weshalb ist die CIS-Empfehlung aus unserer Sicht falsch? Warum kopieren so viele namhafte Hersteller die unpassende  Vorgabe? Und warum empfehlen wir TaSK, das TLS-Testwerkzeug des BSI?

Die Antworten auf diese Fragen geben wir in unserem kostenlosen Whitepaper “Die Bedeutung der Registry-Konfiguration für Cipher Suites”. Das PDF-Dokument können Sie hier direkt herunterladen:

Download: Gratis-Whitepaper über die Cipher Suites Sicherheitskonfiguration

Wie können Sie feststellen, ob Ihre Systeme richtig konfiguriert sind?

Es gibt verschiedene Wege, um zu einer belastbaren Aussage zu kommen. Der einfachste Weg ist die Verwendung des AuditTAP.

Das AuditTAP erstellt schnell einen einfachen Überblick über die verschiedenen Hardening-Empfehlungen. Insbesondere der in diesem Artikel diskutierte Punkt wird transparent dargestellt – wie im folgenden Screenshot zu sehen ist:

Klicken Sie auf das Bild, um es zu vergrößern.

Können wir Ihnen weiterhelfen?

Haben Sie Fragen zu unserem Whitepaper und den darin festgehaltenen Erkenntnissen? Benötigen Sie Unterstützung bei der sicheren Konfiguration Ihrer Systeme?

Oder interessieren Sie sich für eine professionelle, nachhaltige Systemhärtung, die Ihnen zum Beispiel direkt hilft, Anforderungen aus Compliance-Frameworks wie “DORA” oder “ISO 27001” zu erfüllen? Kontaktieren Sie uns! Unsere Experten sind gerne für Sie da.

Melden Sie sich bei uns!

 

Bild: Adobe Firefly

Schreibe einen Kommentar