- Mitglied seit
- 01. Sep 2012
- Beiträge
- 17.485
- Punkte für Reaktionen
- 8
- Punkte
- 414
Aktuell liest mal über den DROWN-Angriff - es handelt sich dabei um eine Variante früherer Angriffe auf das SSLv2-Protokoll, worüber dann auch u.U. eine aktuelle TLS-Verschlüsselung kompromittiert werden kann. SSLv2 ist in der DSM-Standardinstallation aktuell bereits deaktiviert - das kann beruhigend wirken, aber nur dann, wenn einige Voraussetzungen erfüllt sind. Wichtig ist, dass die aktuell verwendeten Schlüssel nicht ebenfalls verwendet wurden, um - weder früher noch aktuell - Zertifikate für Dienste mit SSLv2 anzubieten (und hier sind auch solche Dinge wie SMTP/IMAP/POP mit zu betrachten). Unabhängig davon sieht man auch hier besonders den Vorteil, Ciphren einzusetzen, die ihre Schlüssel nicht über RSA, sondern ausschließlich über Diffie-Hellman austauschen, im Besonderen die ephemeren Varianten (d.h. also Perfect Forward Secrecy, PFS). Das tut das DSM bis heute leider noch nicht auf Knopfdruck (auch wenn ich da beständig am Anklopfen bin bei Synology).
Zuletzt bearbeitet:
