Exchange 2013 und Perfect Forward Secrecy – was ist das ?
Jeder Admin und so gut wie jeder Benutzer kennt heutzutage die Möglichkeit den Datenverkehr mit SSL zu verschlüsseln. Hierbei werden auf Basis eines Zertifikats und eines ausgehandelten Sitzungs-Schlüssels die übertragenen Daten verschlüsselt. Die ausgehandelten Sitzungs-Schlüssel für eine gesicherte Übertragung werden aufgrund eines Langzeit-Schlüssels erstellt. Sollte ein Angreifer in den Besitz dieses Langzeit-Schlüssels geraten, wäre es ihm möglich die ausgehandelten Sitzungs-Schlüssel bzw den übertragenen und abgefangenen Datenverkehr zu entschlüsseln. Ein mögliches Szenario wäre das Speichern von Datenverkehr und ein Entschlüsseln dieses Verkehrs, nachdem der Langzeit-Schlüssel in den Besitz des Angreifers gekommen ist.
Um dieses Szenario unmöglich zu machen, können Sitzungs-Schlüssel auf Basis des Diffie-Hellman-Schlüsselaustausch ausgehandelt werden. Sollte ein Server diesen verbesserten Schlüsselaustausch beherrschen, spricht man von „Perfect Forward Secrecy“.
Warum ist dies nicht der Standard?
Perfect Forward Secrecy ist eine Einstellung, welche der Betreiber des Mailservers konfigurieren muss. Durch den Einsatz von höheren SSL bzw. TLS Protokollen kann es zu einer Mehrbelastung der Server von bis zu 30% kommen. Diese Last wollen die meisten Betreiber nicht für die sinnvolle Verbesserung in der Sicherheit Ihrer Systeme opfern.
Wie sieht es bei dogado Hosted Exchange 2013 und Perfect Forward Secrecy aus?
Wir haben unsere Hosted Exchange 2013 Server soweit es geht für SSL Übertragungen optimiert. Hierzu gehört neben anderen Techniken wie „HTTP Strict Transport Security“ auch der Einsatz von Perfect Forward Secrecy.
Die beste Möglichkeit eine SSL-fähige Seite auf Schwachstellen zu überprüfen stellt derzeit der SSL-Test von „Qualys SSL Labs“ dar. Unter folgendem Link finden Sie die Testwerte für unsere Plattform: