[Discuss] DROWN-Attack ... @ your device? (sorry for crossposting)

[Matthias Šubik]

> On 02.03.2016, at 14:28, L. Aaron Kaplan <(spam-protected)> wrote:
> 
> 
>> On 02 Mar 2016, at 01:48, Erich N. Pekarek <(spam-protected)> wrote:
>> 
>> Hallo Matthias!
>> 
>> Am 2016-03-01 um 21:44 schrieb Matthias Šubik:
>>> [...]
>>> Deshalb bitte:
>>> Prüft ob Eure IP(s) beim Test dabei waren:
>>> https://drownattack.com/#test
>> Dieser Link gibt, wie Du richtigerweise andeutest, nur Auskunft darüber, ob im gescannten IPv4-Adressraum die Lücke aufgetreten ist.
>> Generell wäre es ratsam, die angewandten Verschlüsselungsstandards auf dem eigenen Server auf generellere Weise zu prüfen.
>> 
>> Anbei ein paar hilfreiche Links zu Webtools, mit denen man SSL/TLS-Debugging hinsichtlich häufiger Fehler betreiben kann:
>> 
>> https://de.ssl-tools.net/mailservers
>> https://de.ssl-tools.net/webservers/
>> https://whatsmychaincert.com/
>> https://www.ssllabs.com/
>> 
> 
> Darf ich auch auf bettercrypto.org verweisen?
> Dort sind copy & paste Anleitungen, wie man den eigenen Server absichert.
> (unter anderem haben da ein paar Leute von Funkfeuer auch mitgeschrieben)

JA!
das hatte ich voll vergessen.


> --> bitte schaut mal in bettercrypto.org rein. Da haben sich ein paar Leute schon wirklich viel Arbeit angetan
> und mit vielen Experten quergecheckt (unter anderem hat Dan Bernstein bettercrypto ziemlich gelobt).
> Macht vielleicht Sinn, bestehende guides anzusehen (und zu verbessern, wenn was auffällt), als wieder komplett einen neuen zu schreiben - weil das ist echt viel Aufwand.
Unbedingt.
Wir sollten aber sammeln, was halt im Funkfeuer-Umfeld *speziell* ist, z.B. openwrt-Änderungen, und wie die auf die Sicherheit wirken.


bG
Matthias