SSL Handshake

Meinungen und Kommentare zu MetaGer: Was könnte besser sein? Was ist gut? Was könnte/sollte Neues dazukommen?
Post Reply
Message
Author
Rolof
Posts: 0
Joined: Mon 26. Oct 2015, 19:33
Contact:

SSL Handshake

#1 Post by Rolof » Mon 26. Oct 2015, 19:57

Hi mir ist aufgefallen das Eurer Server sich mit der niedrigsten freigeschalteten Cipherverschlüsselung des jeweiligen Browsers verbindet. Ich finde das nicht so ok! Ich habe in meinen Firefox nur noch 4 Ciphersuiten freigeschalten.
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-SHA
RSA-AES256-SHA

Eigentlich gilt nur noch die Ciphersuite ECDHE_RSA_WITH_AES_128_GCM_SHA256 und ECDHE_RSA_WITH_AES_256_GCM_SHA384 als sicher! Die anderen hier aufgezeigten Ciphersuiten habe noch freigeschaltet weil ich diese für 2 - 3 Webseiten noch benötige. Beim Firefox müsste dann bei mir die Ciphersuite ECDHE_RSA_WITH_AES_128_GCM_SHA256 zu sehen sein. Macht es aber momentan nicht!!!
Als datenschutzfreundliche Suchmaschine wäre es es aber von Nöten das der SSL Handshake IMMER mit der höchstmöglichen Ciphersuite des jeweiligen Browsers gemacht wird. Euer Server ist so eingestellt das die niedrigste Verschlüsselung verwendet wird. Diesen Fehler haben noch viele Webseiten. Ist ein Konfigurationsfehler!
Bei den anderen datenschutzfreundlichen Suchmaschinen Ixquick, Startpage, Unbubble.eu und Searx.me funktioniert der SSL- Handshake wunderbar mit der höchsten verfügbaren Ciphersuite.
Es wäre nett wenn ihr das so schnell wie möglich bei Eurem Server ändern könntet.
Wer es noch nicht weiß, die unsicheren Ciphersuiten stellt man beim Firefox unter about:config dann bei Suchen ssl3 eingeben, auf false ein.

cosi
Posts: 30
Joined: Sat 10. Jan 2015, 19:20
Contact:

Re: SSL Handshake

#2 Post by cosi » Tue 27. Oct 2015, 19:37

Hallo Rolof,

das Problem habe ich weitergeleitet. Es wird sich schnellstmöglich darum gekümmert und hier eine Statusmeldung geschrieben. Vielen Dank für den Hinweis, der in der Tat gravierend ist, denn uns geht es um eine sichere Suchmaschine!

Viele Grüße,


cosi

Rolof
Posts: 0
Joined: Mon 26. Oct 2015, 19:33
Contact:

Re: SSL Handshake

#3 Post by Rolof » Mon 2. Nov 2015, 20:35

Weitere Infos unter:
https://www.privacy-handbuch.de/handbuch_24s2.htm
Unter der Überschrift:
SSL/TLS-Verschlüsselung

In den Richtlinien für den Einsatz von TLS-Verschlüsselung der IETF vom Mai 2015 wird ausschließlich der Einsatz von TLS 1.2 empfohlen. Außerdem sollen folgende Cipher für die Transportverschlüsselung genutzt werden:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
Aufgrund des Paper How is NSA breaking so much crypto empfehlen wir nur die ersten beiden Cipher, da man nicht sicher sein kann, ob der Jabber-Server sichere Diffie-Hellmann-Parameter nutzt.

Richtlinien für den Einsatz von TLS-Verschlüsselung:
https://www.rfc-editor.org/rfc/rfc7525.txt
Weitere Infos unter:
https://www.privacy-handbuch.de/handbuch_21f2.htm

Warum ist das Forum nicht via sicheren https erreichbar!!!

cosi
Posts: 30
Joined: Sat 10. Jan 2015, 19:20
Contact:

Re: SSL Handshake

#4 Post by cosi » Fri 13. Nov 2015, 04:35

Hallo,

nach Rücksprache mit einem MetaGer-Team-Kollegen danken wir erst einmal für diesen Hinweis. Diese Optimierung der Verschlüsselung wird nun bearbeitet.
Ich kann Sie aber beruhigen: die jetzigen Einstellungen sind als nicht kritisch einzustufen.
Viele Grüße und weiterhin viel Freude mit MetaGer!
cosi

WoSaBeu
Posts: 38
Joined: Thu 7. Feb 2013, 14:28
Contact:

Re: SSL Handshake

#5 Post by WoSaBeu » Fri 13. Nov 2015, 14:51

Rolof wrote:Hi mir ist aufgefallen das Eurer Server sich mit der niedrigsten freigeschalteten Cipherverschlüsselung des jeweiligen Browsers verbindet. Ich finde das nicht so ok! Ich habe in meinen Firefox nur noch 4 Ciphersuiten freigeschalten.
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-SHA
RSA-AES256-SHA

Eigentlich gilt nur noch die Ciphersuite ECDHE_RSA_WITH_AES_128_GCM_SHA256 und ECDHE_RSA_WITH_AES_256_GCM_SHA384 als sicher! Die anderen hier aufgezeigten Ciphersuiten habe noch freigeschaltet weil ich diese für 2 - 3 Webseiten noch benötige. Beim Firefox müsste dann bei mir die Ciphersuite ECDHE_RSA_WITH_AES_128_GCM_SHA256 zu sehen sein. Macht es aber momentan nicht!!!
Als datenschutzfreundliche Suchmaschine wäre es es aber von Nöten das der SSL Handshake IMMER mit der höchstmöglichen Ciphersuite des jeweiligen Browsers gemacht wird. Euer Server ist so eingestellt das die niedrigste Verschlüsselung verwendet wird. Diesen Fehler haben noch viele Webseiten. Ist ein Konfigurationsfehler!
Wir hatten das letzt mal zeitweise umgestellt. Die Folge waren Beschwerdemails von Usern mit alten Browsern, bei denen dann MetaGer gar nicht mehr funzte. In solchen Fällen müssen wir abwägen zwischen höchsten Sicherheitsanforderungen und Nutzerfreundlichkeit. Wir haben uns für die Nutzerfreundlichkeit entscheiden.

Rolof
Posts: 0
Joined: Mon 26. Oct 2015, 19:33
Contact:

Re: SSL Handshake

#6 Post by Rolof » Fri 20. Nov 2015, 23:11

Na ich denke das die Nutzerfreundlichkeit mittlerweile nun nach den Edward Snowden - Erkenntnissen zurück stehen müssen. Es kann doch nicht sein das die allgemeine IT-Unfähigkeit unter den Usern der Maßstab für die Verschlüsselung der MetaGer-Suchmaschine ist.
Wer seinen Browser nicht aktuell hält kann halt nicht MetaGer benutzen. Für mich ist es unbegreiflich wie man die allgemeine IT-Dummheit der User zum Maßstab der Verschlüsselung der MetaGer-Suchmschine machen kann. Eure Denke ist erschreckend! Zumal ich Euch erklärt habe das außer den zwei von mir genannten noch sicheren Verschlüsselungen der Rest als genackt gilt !!!
Ich erwarte von Euch zeitnah (!) das ihr die Verschlüsselung der Suchmaschine nach den heutigen höchstmöglichen (!) Verschlüsselungen durchführt! Das würde auch die User dazu verpflichten den jeweiligen Browswer stets aktuell zu halten. Das kostet ja nichts außer das Hirn einzuschalten. Wer das nicht kann, kann doch nicht der Maßstab für die Verschlüsselung von MetaGer sein, oder??? Ansonsten seid ihr für eine sichere Suche im Internet nicht glaubwürdig!!! Wenn ihr nicht zeitnah zeitgemäß reagiert, werde ich im Internet dafür "werben" das MetaGer wegen der unsicheren Verschlüsselung besser nicht mehr benutzt werden soll!
Die vielgerühmte IT-Sicherheit „Made in Germany“ zusammen mit dem so hochgelobten deutschen Datenschutz ist ein gigantischer medialer Fake. Wohin man auch schaut überall graut es einem wenn man hinter die Kulissen schaut!

WoSaBeu
Posts: 38
Joined: Thu 7. Feb 2013, 14:28
Contact:

Re: SSL Handshake

#7 Post by WoSaBeu » Mon 23. Nov 2015, 11:09

Rolof wrote:Na ich denke das die Nutzerfreundlichkeit mittlerweile nun nach den Edward Snowden - Erkenntnissen zurück stehen müssen. Es kann doch nicht sein das die allgemeine IT-Unfähigkeit unter den Usern der Maßstab für die Verschlüsselung der MetaGer-Suchmaschine ist.
Wer seinen Browser nicht aktuell hält kann halt nicht MetaGer benutzen.
Ich befürchte, ich werde Sie nicht überzeugen können. Aber es hilft nichts: wenn wir DAS so machen ("Wer seinen Browser nicht aktuell hält kann halt nicht MetaGer benutzen"), dann können wir MetaGer nur noch einstellen und aufgeben, denn wir müssen den Betrieb von MetaGer finanzieren. Ungefähr die Hälfte der Finanzierung kommt aus den Klicks auf die Werbelinks. Wenn darauf signifikant weniger User klicken, weil ihre alten Browser nicht mehr mit MetaGer funktionieren, dann sind wir pleite. So ist leider die Realität - like it ot not.
Rolof wrote: Für mich ist es unbegreiflich wie man die allgemeine IT-Dummheit der User ...
Hierzu ein kleiner Lesetipp: http://blog.suma-ev.de/node/216 - DAS ist die Realität. Aber es lebt sich sicherlich besser, wenn man diese ignoriert.

Rolof
Posts: 0
Joined: Mon 26. Oct 2015, 19:33
Contact:

Re: SSL Handshake

#8 Post by Rolof » Mon 23. Nov 2015, 22:15

Ach du Schei... , das wird ja immer gruseliger! Schon mal an Crowdfunding gedacht um finanziell unabhängiger zu sein?
Das mit den Werbeklicks ist doch mit echter zeitgemäßer Internetsicherheit für eine wirklich datenschutzfreundliche Suchmaschine unvereinbar. Um ehrlich zu sein ich habe bei euer Suchmaschine noch keine Werbung gesehen. NoScript sei dank!
Also MetaGer benutze ich nur noch als Notfallsuchmaschine. Mit eurer jetzigen Finanzierung mittels Werbeklicks ist eine wirklich sichere Suchmaschine nicht zu machen.
Übrigens eure Toradresse funktioniert auch nicht richtig. Bein anwählen der MetaGer Tor-Adresse wird man auf die normale Internetwebadresse umgeleitet. Auch kann man eure Toradresse im Browser wo die Suchmaschinen gespeichert sind nicht hinzu fügen.
Schade euer Ansatz für eine sichere Suchmaschine ist schon richtig. Allerdings die Umsetzung ist für mich zu mangelhaft. Im Prinzip bedeutet das mich als Internetznutzer, ihr seid als sichere, datenschutz freundliche Suchmaschine durchgefallen!
Eure Suchergebnisse sind allerdings gut, das sollte man schon anerkennen. Aber das reicht für mich nicht. Schade !!!

metager-suma-ev
Administrator
Posts: 11
Joined: Wed 6. Feb 2013, 13:18
Contact:

Re: SSL Handshake

#9 Post by metager-suma-ev » Thu 26. Nov 2015, 11:17

Rolof wrote:Ach du Schei... , das wird ja immer gruseliger! Schon mal an Crowdfunding gedacht um finanziell unabhängiger zu sein?
Sie unterschätzen uns wohl ein wenig: MetaGer ist seit 1996 online, einen Teil unserer Geschichte können Sie hier nachlesen: http://blog.suma-ev.de/node/207. Wir waren bereits am Netz, als das Wort "Crowdfunding" noch gar nicht erfunden war. Und NATÜRLICH haben wir das auch versucht! (halten Sie uns für blöd?? ;-)). Wir haben dann mit der Wunderwaffe Crowdfunding in einem halben Jahr 70 cents eingenommen.

Wir haben danach selber eigene Spenden-Werbung auf MetaGer gemacht. Und DAMIT hat sich wirklich eine überraschend hohe Spendenbereitschaft gezeigt. Wir können jetzt immerhin die Hälfte unserer Kosten aus Spenden (und das ist der weitaus größte Teil) und Mitgliedsbeiträgen bezahlen. Soviel Spenden hätten wir NIE erwartet und das ist gaaaaanz toll!! Herzlichen Dank allen Spendern!!!
Rolof wrote: Das mit den Werbeklicks ist doch mit echter zeitgemäßer Internetsicherheit für eine wirklich datenschutzfreundliche Suchmaschine unvereinbar.
Das ist Unsinn: Wir geben bei der Anzeige von Werbelinks KEINE personenbeziehbaren Daten weiter! Und niemand MUSS auf die Werbelinks klicken.
Rolof wrote: Schade euer Ansatz für eine sichere Suchmaschine ist schon richtig. Allerdings die Umsetzung ist für mich zu mangelhaft. Im Prinzip bedeutet das mich als Internetznutzer, ihr seid als sichere, datenschutz freundliche Suchmaschine durchgefallen!
Kennen Sie eine, die in IHREN Augen Bestand hat?? Wir lernen gern dazu!
Rolof wrote: Übrigens eure Toradresse funktioniert auch nicht richtig.
Wir haben unser TOR-hidden hier in mehreren Umgebungen ausprobiert: alles einwandfrei. Vielleicht machen Sie etwas falsch?
Rolof wrote: Eure Suchergebnisse sind allerdings gut, das sollte man schon anerkennen.
Na, wenigsten etwas ;-)

Rolof
Posts: 0
Joined: Mon 26. Oct 2015, 19:33
Contact:

Re: SSL Handshake

#10 Post by Rolof » Mon 14. Dec 2015, 23:01

Sorry aber da ich aus genannten Gründen Eure Suchmaschine MetaGer nicht mehr benutze habe ich die Diskussion hier im Forum völlig vergessen.
Also ich werfe Euch nicht die Werbeklicks vor sondern das ihr wegen der "Rücksicht der Werbung " auf User setzt die keine Ahnung von IT-Sicherheit haben und daher die Verschlüsselung unsicher macht.
Auch das Ihr personenbezogene Daten heraus gebt werfe ich Euch natürlich auch nicht vor. Das ist völliger Quatsch. Hoffe ich zumindest!

Alternative Suchmaschinen welche die aktuellen Sicherheitsstandards einhalten habe ich Anfangs genannt. Wer lesen kann ist wie immer noch klar im Vorteil.

Nö und beim TOR-hidden von MetaGer mache ich nichts falsch. Man kommt immer wieder wenn man die Tor-hidden Adresse von MetaGer abspeichert und neu anwählt auf die normale https-Seite von MetaGer.
Also für mich seid Ihr Tod! Wenn Ihr für den Firefox nicht die einzig sichere Verschlüsselung
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
einsetzt dann seid Ihr für mich als Suchmaschine völlig unbrauchbar!
Ja das war es so von mir.
In ein bis zwei Jahren schaue hier mal wieder vorbei um zu testen ob den die Verschlüsselung wirklich zeitgemäß gut ist. Jetzt ist das aber völlig undiskutabel!!!

Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest