"Perfect Forward Secrecy" bei Posteo
Erstellt am 12.August 2013, 13:00 Uhr | Kategorie: Blog
Liebe Nutzer, liebe Interessierte,
es tut uns leid, dass wir erneut einen sehr technischen Beitrag veröffentlichen müssen.
Wir erhalten aktuell sehr viele Support-Anfragen zum Thema Perfect Forward Secrecy bei Posteo.
Die Fachbegriffe TLS/SSL und PFS erklären wir unter dem Artikel.
In der heute veröffentlichten Ausgabe der Computerzeitschrift c’t werden die TLS-Verschlüsselungen verschiedener Mailanbieter auf das sicherheitsrelevante Merkmal PFS (Perfect Forward Secrecy) untersucht. Erfreulicherweise werden wir neben den großen Anbietern erwähnt – und schneiden dabei auch gut ab. Unerfreulich ist jedoch, dass die Angaben zu uns an einer Stelle falsch sind. In der c`t steht, dass wir PFS zwar auf Mailserver-Ebene unterstützen würden, nicht aber im Webmailer. Das ist nachweislich falsch. [UPDATE] Die c’t hat über folgende Heise News-Meldung die Darstellung aktualisiert. [/UPDATE]
Die Umstellungen unserer Server zur Einführung von PFS haben sich offensichtlich zeitlich mit den Tests der c’t-Redaktion überschnitten. Wir bedauern, dass die Redaktion bei so einem aktuellen Thema nicht zeitnaher getestet hat. Auch wäre es möglich gewesen, uns zu kontaktieren und zu PFS zu befragen.
Wir unterstützen PFS seit dem 02.08. für alle Browser – mit Ausnahme des Internet Explorers. Seit Ende Juni arbeiten wir an der Umsetzung von PFS. Ende Juli haben wir PFS im Webmailer bereits für alle Browser unterstützt, die TLS 1.2 fähig sind (iOS und Opera, wenn in Opera manuell TLS1.2 aktiviert wurde). Seit dem 02. August unterstützen wir PFS generell für alle gebräuchlichen Browser – mit Ausnahme des Internet Explorers. Um den Internet Explorer zu unterstützen, müssen wir noch weitere Updates vornehmen, die bald umgesetzt sein werden. Der Internet Explorer wird für 10% der Zugriffe auf unser System genutzt – 90% der Zugriffe auf unseren Webmailer erfolgen seit Anfang August sicher mit PFS (automatisch: Sie müssen nichts einstellen).
Es lässt sich übrigens sehr leicht überprüfen, für welche Browser wir PFS bereits unterstützen. Sie können auf der unabhängigen Testseite der Qualys-Labs jederzeit die Sicherheit unseres Sicherheits-Zertifikats selbst überprüfen: https://www.ssllabs.com/ssltest/analyze.html?d=posteo.de Im Bereich “Handshake Simulation” bedeutet ein “FS” hinter dem jeweiligen Browser, dass PFS von uns mit diesem Browser unterstützt wird.
Viele liebe Grüße sendet,
das Posteo-Team
Begriffserläuterungen:
TLS ersetzt seit Version 3.0 namentlich das SSL-Protkoll. TLS ist also einfach nur die Weiterentwicklung von SSL. Gemeint ist damit ein Verfahren zur sicheren, verschlüsselten Datenübertragung im Internet. Wenn Sie auf eine Webseite zugreifen oder eine E-Mail verschicken und diese Daten werden über eine mit TLS gesicherte Verbindung geleitet, kann niemand diese Daten mitlesen.
Ohne die PFS-Funktion könnte man den per TLS verschlüsselten Verkehr aufbewahren und alle Inhalte im Nachhinein entschüsseln, falls die Entschlüsselung einmalig gelingt und der geheime Schlüssel bekannt würde. Mit dem Einsatz von PFS kann dies effektiv ausgeschlossen werden. Beim Einsatz von PFS einigen sich die beiden Verschlüsselungspartner jeweils neu auf einen geheimen Sitzungsschlüssel für die Verbindung, der nicht ausgetauscht werden muss und im Nachhinein automatisch zerstört wird. Dazu wird das Diffie-Hellmann-Prinzip benutzt.