[Discuss] DROWN-Attack ... @ your device? (sorry for crossposting)

[Matthias Šubik]

Hallo Erich,
> On 02.03.2016, at 01:48, Erich N. Pekarek <(spam-protected)> wrote:
> 
…

> Anbei ein paar hilfreiche Links zu Webtools, mit denen man SSL/TLS-Debugging hinsichtlich häufiger Fehler betreiben kann:
> 
> https://de.ssl-tools.net/mailservers
> https://de.ssl-tools.net/webservers/
> https://whatsmychaincert.com/
> https://www.ssllabs.com/

Danke für Deine Links!
> 
> 
...
> Bei dieser Gelegenheit kann es auch nicht schaden, auf jeder Maschine neue Diffie Hellman Parameter (dhparams) (in den erforderlichen Längen) zu erstellen, da diese aufgrund vorangegangener Probleme bei Pseudo-Zufallszahlengeneratoren oder in Folge früherer Lücken oder schlicht, weil sie zu kurz sind, nicht (mehr) die erforderliche Sicherheit bieten.

Ja! Schlüsselwechsel bei jedem Erneuern der Zertifikate unbedingt machen, sogar bei einem 24/7 Service geht das: 
Zertifikate und Schlüssel tauschen, restart service, fertig.
> 
...
> Eventuell wäre eine (kommentierte) Linksammlung im Funkfeuer-Wiki, die Hardening-Tips für die gängigen Dienste abbildet ein erster Schritt, damit die Informationen dazu und Erkenntnisse hieraus übersichtlich bleiben. Bitte poste den Link, wenn Du sie in Folge dieser Anregung angelegt haben wirst.

Im Wiki ist Datensicherheit eine sehr große Baustelle,
ich würde mich freuen, wenn wir hier z.B. gemeinsam mit einer größeren Community (freifunk, metalab, LUGA) für unsere gemeinsamen Plattformen Sicherheitsinformationen bereithalten. Ich kann ja nur den Anstoss geben, aber schreiben kann ich das alles nicht. 
Gute Tipps sind ja auch wiederum alle getestet. Bei Deinen Links kannte ich jetzt nur ssllabs, aber hatte auch noch keine Zeit auszuprobieren, ob es dort schon einen funktionierenden DROWN-Test gibt.

Also wer einen Link erfolgreich getestet hat, einfach dokumentieren. Wer nicht weiss wo, einfach hier rein, das discuss-archiv und google erledigen den Rest.

bG
Matthias

—