Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
Security
Diese Seite soll einen kurzen Überblick über mögliche Sicherheitsrelevante Themen im Bezug auf Web-Technologien geben.
TLS (Transport Layer Security / früher: SSL / HTTPS)
Allgemein
Jegliche Verbindung zu Webservern sollte nach Möglichkeit über TLS abgesichert werden.
Insbesondere immer wenn sensitive Daten übertragen werden!
Fast alle Webserver bieten (manchmal über Plug-ins) die Möglichkeit (gesamte/spezifische) Requests über TLS abzusichern.
Hierzu am besten in der Dokumentation des jeweiligen Webservers nachschauen.
Übersicht über CAs (Certificate Authorities)
Für die Verwendung von TLS ist ein (X.509) Zertifikat notwendig.
Damit dieses Zertifikat von den Browsern der Nutzer akzeptiert wird ist es nötig, das dieses von einer Anerkannten Zertifizierungsstelle (CA) ausgestellt wurde.
Normalerweise kostet jegliches Zertifikat eine gewisse (mehr oder weniger große) Summe. Nachfolgend eine Übersicht über kostenfreie Alternativen.
Let's Encrypt
Wikipedia: https://en.wikipedia.org/wiki/Let's_Encrypt Projekt: https://letsencrypt.org/
Freie, offene und (vollständig) automatisierte Zertifizierungsstelle.
Vorteile:
- Geringer Integrationsaufwand (fertige Plug-Ins für Webserver)
- Hohe Automatisierung (selbstständige Verlängerung von Zertifikaten machbar)
- Transparent und hohe Sicherheitsanforderungen (alle eingesetzten Komponenten der CA sind open source)
Nachteile:
- Es werden nur so genannte DV (Domain-validated Zertifikate ausgestellt, keine Wildcard Zertifikate und auch keine S/MIME Zertifikate
- Automatisierung in gewissem Umfang nötig, da Zertifikate immer nur maximal 90 Tage valide sind
DFN-PKI
Projekt: https://www.pki.dfn.de/ueberblick-dfn-pki/
Vom DFN (deutsches Forschungsnetz) betriebene Zertifizierungsstelle.
Bezugsberechtigt sind üblicherweise alle Studierenden und auch studentische Gruppen.
Genauere Info gibt es beim jeweiligen Rechenzentrum.
Vorteile:
- Zertifikate mit langer Laufzeit (mehrere Jahre) möglich
- Eventueller Support durch Rechenzentrum
Nachteile:
- Bürokratischer Aufwand (keine Automatisierte Ausstellung, Antragsteller muss mit Formular zum Rechenzentrum)
- Auch nur DV Zertifikate möglich
Die hier im BuFaTa ET Wiki dargestellten Arbeitsdokumente sind Einzelbeiträge der jeweiligen Autoren und i.d.R. nicht repräsentativ für die BuFaTa ET als Organisation. Veröffentlichte Beschlüsse und Stellungnahmen der BuFaTa ET befinden sich ausschließlich auf der offiziellen Homepage.