10
10. April 2014
Kategoriebild allgemein.png
Heartbleed Bug – Neuausstellung von Zertifikaten

In diesem Blogartikel hatten wir bereits über die Sicherheitslücke in OpenSSL, den sogenannten “Heartbleed Bug”, berichtet.

Für alle Administratoren, die bis zur Aktualisierung auf die gepatchte Version eine der betroffenen Versionen (1.0.1 bis einschließlich 1.0.1f) genutzt haben, wird ein Austausch des SSL-Zertifikats dringend empfohlen.

WICHTIG: Da unsere Webhosting-Server von dem Bug nicht betroffen sind, ist ein Austausch der bei uns genutzten SSL-Zertifikate nicht notwendig.

Allen Kunden, die ein SSL-Zertifikat von uns nutzen und von dem „Heartbleed Bug“ betroffen sind, bieten wir gerne einen kostenfreien Austausch des SSL-Zertifikats für die aktuelle Laufzeit an.

Kontaktieren Sie dafür bitte unseren Kundenservice in Ihrem Kundenmenü über den Menüpunkt “Kundenservice” (Bereich “Technik”).

Bitte beachten Sie dazu folgende Hinweise:

  • Sobald das neue Zertifikat ausgestellt wurde, wird das bislang genutzte Zertifikat ungültig. Sie sollten es also auf Ihrem Server direkt tauschen.
  • Bei dem Zertifikatstyp “GeoTrust TrueBusinessID mit erweiterter Validierung” kann die Neuausstellung einige Tage dauern.
  • Ein Zertifikat kann auf mehreren Servern genutzt werden (Multiserverfähigkeit). Haben Sie das Zertifikat auf mehreren Servern im Einsatz, müssen Sie es auf allen Servern tauschen, da das alte Zertifikat umgehend mit der Neuausstellung ungültig wird.

Hinweis: Über die Webseite von Geotrust besteht für Sie die Möglichkeit, Ihr SSL-Zertifikat selbst zu erneuern. Wir möchten Sie jedoch bitten, dies nicht zu tun, da es sonst bei künftigen Zertifikats-Verlängerungen zu Problemen kommen kann.

22
8. April 2014
Kategoriebild allgemein.png
Warnung: Sicherheitslücke in OpenSSL!

In OpenSSL wurde eine Sicherheitslücke entdeckt, durch die Angreifer private Schlüssel von Servern auslesen können.

Dies betrifft eine sehr hohe Anzahl von Web- und Mailserver im Internet, zu denen eine verschlüsselte Verbindung durch den Bug nicht mehr sicher ist.

Auf den Webhosting- und Mail-Servern von domainFACTORY wird keine der betroffenen Versionen eingesetzt, diesbezüglich besteht also kein Grund zur Sorge.

Alle Nutzer von JiffyBox, die OpenSSL einsetzen, sollten jedoch dringend die eingesetzte Version prüfen! Betroffen sind alle Versionen von 1.0.1 bis einschließlich 1.0.1f.
Bei der älteren Version 1.0.0 und den 0.9 Versionen besteht der Fehler nicht.

Die Sicherheitslücke wurde mit der heute veröffentlichten Version 1.0.1g geschlossen.
Ein Update mit anschließendem Neustart aller Services, die TLS-Verbindungen nutzen, wird dringend empfohlen!

Leider lässt sich ein möglicher Angriff nicht auf dem Server nachvollziehen, so dass allen Nutzern von OpenSSL in den betroffenen Versionen zusätzlich zu einem Update geraten wird, vorsorglich alle TLS-Zertifikate auszutauschen und durch neue Zertifikate mit neuem privaten Schlüsseln zu ersetzen.

Detaillierte Informationen zu der Sicherheitslücke sind auf der Seite http://heartbleed.com/ zu finden.

UPDATE: Für JiffyBox wurden mehrere Distributionen aktualisiert, um die Sicherheitslücke zu schließen. Informationen dazu sind hier, in unserem Forum zu finden.

27
7. März 2014
Kategoriebild allgemein.png
SSL-Verschlüsselung beim E-Mail-Verkehr

Einige Provider haben sich entschlossen, die Nutzung von Postfächern mit IMAP/POP3 und SMTP ab Ende März nur noch über eine SSL-Verschlüsselung zuzulassen.

Was heißt das und wie ist das bei domainFACTORY?

Die einfach zu beantwortende Fragen einmal vorweg:

Wird das bei domainFACTORY auch geändert?

Nein.
Bei uns ist keine Änderung diesbezüglich geplant, es ist also auch keine Anpassung der Einstellungen in den Mailprogrammen erforderlich.

Und was bedeutet das überhaupt – SSL-Verschlüsselung…?

Nutzt man ein E-Mailprogramm, verbindet dieses sich zum Mailserver bei uns im Rechenzentrum.

Webmail ist ausgenommen, da es sowieso immer eine verschlüsselte Verbindung verwendet.
Gemeint sind E-Mailprogramme wie z.B. Outlook, Thunderbird, Mac Mail, Smartphone Mail-Apps usw.

Einfach gesagt, öffnet man das Mailprogramm am Rechner und ruft die Mails ab, fragt das Mailprogramm beim Server in unserem Rechenzentrum nach, ob neue E-Mails vorhanden sind. Ist das der Fall, holt das Mailprogramm die Nachrichten ab.

Dem Nutzer am Rechner werden dann die Mails im E-Mailprogramm angezeigt.

Beim Versand einer E-Mail funktioniert das ähnlich:
Man schreibt eine E-Mail und klickt auf „Senden“. Das Mailprogramm gibt die E-Mail dann zu unserem Server im Rechenzentrum, der diese dann an den Server des Empfängers weitergibt.

mailverkehr

Nun aber das große ABER:

Das E-Mailprogramm holt sich also E-Mails vom Server bei uns ab und sendet Mails zum Server. Das erfolgt bei einer „normalen“ Nutzung unverschlüsselt.

Würde jemand die Mails abfangen, wären sie für den Angreifer lesbar.

Daher empfehlen wir – erzwingen es aber nicht:

SSL-Verschlüsselung!

Wie genau das technisch funktioniert, kann z.B. hier nachgelesen werden.

Wichtig für den Nutzer jedoch ist: Werden die Mails verschlüsselt zwischen dem E-Mailprogramm und dem Server übertragen, wären sie also unbrauchbar, wenn sie unterwegs „abgefangen“ werden würden.

Wie kann das umgestellt werden?

Anleitungen zur Einrichtung der gängigsten E-Mailprogramme haben wir hier, in unseren FAQ, bereitgestellt.

Allgemein:

Das E-Mailprogramm muss natürlich wissen, dass es sich zu dem Server in unserem Rechenzentrum verbinden soll. Daher muss man in den Einstellungen des E-Mailprogramms den Namen des Servers eintragen.
Genaugenommen sind es zwei Server: Einer für den Posteingang und einer für den Postausgang.

Um SSL-Verschlüsselung zu verwenden, muss man die Servernamen unserer verschlüsselten Server eintragen.

Der Servername für den Posteingang (IMAP/POP3) lautet:

sslmailpool.ispgateway.de

Zusätzlich muss die Option „SSL verwenden“ angehakt sein (die Bezeichnung der Option kann auch etwas anders lauten, z.B. nur „SSL“ oder „SSL aktivieren“).

Wenn man die Option zur Nutzung von SSL aktiviert, ändern die meisten Mailprogramme den Port automatisch korrekt,  je nachdem, ob IMAP oder POP3 verwendet wird:

IMAP: 993
POP3: 995

Wird weiterhin als Port für den Posteingang 143 (IMAP) oder 110 (POP3) angezeigt, muss der Port von Hand wie oben beschrieben geändert werden.

Der Servername für den Postausgang (SMTP) lautet:

smtprelaypool.ispgateway.de

Wieder muss die Option für SSL angehakt werden.

Bei dem Postausgang muss man den Port dann noch selbst ändern, die meisten E-Mailprogramme passen das nicht automatisch an:

SMTP: 465

(Wurde bislang eine unverschlüsselte Verbindung genutzt, sind Port 25 oder 587 eingetragen, an dieser Stelle muss der Port auf 465 geändert werden.)

Wie oben beschrieben erzwingen wir die Änderung nicht, empfehlen sie aber, da die verschlüsselte Verbindung zum Mailserver einfach sicherer und die Umstellung recht einfach ist.
Unser Kundenservice hilft dabei natürlich auch immer gerne weiter!

6
12. November 2012
Kategoriebild allgemein.png
Sicherheit auf dem Webserver erhöhen

In der vergangenen Woche haben wir mit dem Beitrag “Skript-Sicherheit mittels PHP.INI erhöhen” einige Optionen genannt, mit der Sie als Kunde Ihre eingesetzten Skripte etwas eindämmen und die Sicherheit auf dem Webspace erhöhen können. Heute möchten wir Ihnen weitere Möglichkeiten und Hinweise geben, um es Angreifern schwerer zu machen und deren Schaden zu verringern.

Alle beschriebenen Optionen bieten keinen 100-prozentigen Schutz und sind nur als zusätzliche Maßnahmen anzusehen. Bitte prüfen Sie im Einzelfall, ob die genannten Maßnahmen für Sie überhaupt sinnvoll nutzbar sind.

  1. Nutzen Sie wo immer möglich eine Quota zur Abtrennung einzelner Verzeichnisse/Bereiche, so dass im schlimmsten Fall nur dieser Bereich betroffen ist und nicht Ihr kompletter Webserver. Die Einrichtung von Quotas nehmen Sie bitte im Kundenmenü in der Rubrik “Für Profis” unter dem Menüpunkt “Verzeichnisse/Quotas” vor.
  2. Setzen Sie in der php.ini-Datei Ihrer Domain(s) die sicheren PHP-Einstellungen, sofern Sie keine eigene PHP.INI verwenden möchten/können. IM Kundenmenü finden Sie Option bei der PHP-Versionsauswahl über den Menüpunkt “Allgemeines” -> “PHP-Version”.
  3. Sichern Sie sensible Bereiche zusätzlich mit einem Passwortschutz per .htaccess ab. Beispielsweise die URL bzw. den Pfad für die Administrationsoberfläche. (Wie Sie einen solchen Passwortschutz erstellen, beschreiben wir in unseren FAQ: Wie kann ich einen geschützten Bereich für meine Homepage einrichten?

  4. Nutzen Sie für sensiblere Bereiche wie den Login zusätzlich eine sichere Verbindung mittels SSL. Auch ohne eigenes Zertifikat kann beispielsweise über unseren SSL-Proxy “https” genutzt werden. Alle Informationen dazu finden Sie ebenfalls in unseren FAQ: Wie rufe ich meine Seite mit SSL-Verschlüsselung auf?

  5. Falls Sie selbst entwickelte PHP-Skripte einsetzen, sollten Sie bestimmte Grundregeln zur sicheren Entwicklung von PHP-Skripten beachten. Hierzu gehört es vor allem:- sämtliche Benutzereingaben zu validieren, um ein Einschleusen von ungültigen und ggf. schadhaften Werten/Parametern zu verhindern.
    • Zugangsdaten (z. B. zu Admin-Backends oder Datenbanken) nicht im Klartext auf dem Webserver zu speichern, sofern dies möglich ist. Häufig ist hier ein Abgleich mit einem Hash-Wert des Passwortes ausreichend.- sichere Passwörter zu verwenden, ab 10 Stellen und mit Buchstaben- und Zahlenkombinationen sowie Sonderzeichen.
    • Bitte verwenden Sie nach Möglichkeit die jeweils aktuellste der angebotenen PHP-Version (z.B. PHP 5.2.17 oder PHP 5.3.10), um auszuschließen, dass durch in PHP vorhandene Fehler und Sicherheitslücken Schadcode auf Ihrem Webspace ausgeführt wird. Selbes gilt für die MySQL-Datenbanken.
  6. Besitzen Sie bei uns einen Managed- oder ResellerDedicated-Server, so können Sie über das Kundenmenü mittels einer Anfrage an unsere Technikabteilung für den Webserver nachfolgende Werte setzen lassen:
    • ServerTokens ProductOnly (Diese Einstellung gilt für den gesamten Server und veranlasst den Webserver nur seinen Namen auszugeben, nicht jedoch die genaue Versionsnummer oder eingesetzte Module)
    • ServerSignature Off (Der Webserver erzeugt keine Informationsfußzeile mehr unter ausgelieferte Dokumente)
    • Für beide Einstellungen gilt: Es gibt Anwendungen, die die zurückgegebenen Werte auswerten und ohne vollständige Informationen Fehler verursachen. Ebenfalls gelten diese Optionen für den kompletten Server, einzelne Domains können davon nicht ausgenommen werden.
5
23. April 2012
Kategoriebild allgemein.png
SSL-Zertifikate mit neuem Design

Auch die Leistungsbeschreibung der SSL-Zertifikate wurde auf heute überarbeitet und auf das aktuelle Layout umgestellt, das Sie bereits von den Seiten für ManagedServer, MyHome Plus oder ManagedHosting Pro kennen.

Optisch gibt es nur wenige sichtbare Unterschiede; durch das Ersetzen einiger Grafiken durch Text und den Umbau der Seite kommt es aber zu einer deutlichen Reduzierung der Ladezeit :)

Unsere SSL-Zertifikate finden Sie hier.

8
16. September 2011
Kategoriebild allgemein.png
SSL-Zertifikate mit Multi-Serverlizenz

Kleine Neuerung bei unseren Produkten:

Über uns beziehbare SSL-Zertifikate von GeoTrust sind ab sofort mit einer Multi-Serverlizenz ausgestattet. Durfte ein SSL-Zertifikat bisher ausschließlich auf einem einzelnen Server eingesetzt werden, können Zertifikate nun auf beliebig vielen Servern installiert werden.

Zu den SSL-Zertifikaten auf der Webseite von domainFACTORY

 

5
24. November 2010
Kategoriebild allgemein.png
Neue SSL-Zertifikate bei domainFACTORY

Es freut uns, Sie hiermit über die Einführung neuer SSL-Zertifikate bei domainFACTORY informieren zu können. Dabei haben wir ein besonderes Augenmerk vor allem auf die Erweiterung des Produktportfolios und die providerunabhängige Nutzbarkeit gelegt.

So bieten wir zukünftig neben den Produkten

  • “Geotrust RapidSSL” (19,95 €*) mit automatischer Verifizierung und Aktivierung
  • “Geotrust RapidSSL Wildcard” (89,95 €*) für mehrere Subdomains einer Domain

zusätzlich die folgenden SSL-Zertifikate an:

  • GeoTrust TrueBusinessID (99,95 €*) mit Validierung des Inhabers. Das Zertifikat eignet sich somit vor allem für mit einem höheren Bedürnfis an Vertrauenswürdigkeit einhergehenden Webseiten/Onlineshops, bei denen die vereinfachte automatische Prüfung der RapidSSL-Zertifikate nicht ausreicht.
  • GeoTrust TrueBusinessID mit erweiterter Validierung (199,95 €*). Hierbei handelt es sich um als besonders sicher geltende Zertifikate, die z.B. häufig bei Onlinebanking- und anderen sehr sensiblen Webseiten eingesetzt werden. Der große Vorteil bei diesen Zertifikaten ist die in vielen Browsern grün gehaltene Adressleiste, welche auf den ersten Blick Vertrauenswürdigkeit und Sicherheit signalisiert.
  • GeoTrust TrueBusiness ID Wildcard (399,95 €*) – für alle Subdomains einer gewählten Domain gültiges SSL-Zertifikat mit Inhabervalidierung. “Wildcard”-Zertifikate eignen sich dann, wenn sehr viele Subdomains gleichzeitig (und damit unterm Strich kostengünstig) über das gleiche Zertifikat abgesichert werden sollen. Im Normalfall kann ja jedes Zertifikat nur mit einer ganz bestimmten (Sub-)Domain genutzt werden.

Während die bisher angebotenen SSL-Zertifikate nur für bei uns gehostete Webseiten eingesetzt werden konnten, ist nun erstmalig auch alternativ die Nutzung mit nicht bei uns registrierten Domainnamen möglich. Einzige Voraussetzung dafür ist, dass Ihr Provider die entsprechende Installation aktiv unterstützt bzw. Sie als Serverbetreiber die entsprechenden technischen Schritte selbst ausführen können. Für bei uns genutzte Zertifikate übernehmen wir natürlich die Installation und Aktivierung, so dass Ihnen als Kunde kein Mehraufwand entsteht. :-)

Übrigens: Die SSL-Zertifikatbestellung im Kundenmenü haben wir vollständig erneuert und dabei umfangreich verbessert. So führt nun z.B. ein übersichtlicher Assistent Schritt für Schritt durch die Bestellung und erlaubt auch den Download der nötigen Dateien für den Einsatz des Zertifikates bei einem anderen Provider.

Sofern Sie noch kein Kunde sind und nur SSL-Zertifikate bestellen müssen, ist dies natürlich jederzeit in Verbindung mit dem an sich kostenfreien “DomainManager” Tarif möglich. Verfügen Sie bereits über einen domainFACTORY-Tarif, ist eine Bestellung im Kundenmenü (Link “SSL-Zertifikate”) möglich.

Weitere Informationen finden Sie auch…

*) Jahrespreis inkl. ges. Mehrwertsteuer

4
12. Oktober 2010
Kategoriebild fachchinesisch.png
Update der SSL-Einstellung für PCI-Compliance

Am heutigen Vormittag werden wir die SSL-Konfiguration aller SharedHosting-Webserver umstellen und damit alte, nicht mehr als sicher geltende SSL-Protokolle und Verschlüsselungsalgorithmen entfernen.  Mal ganz abgesehen davon, dass diese sowieso für kaum einen Nutzer noch einen Praxiswert haben, stellt diese Änderung auch eine Voraussetzung für die Einhaltung des “Payment Card Industriy Data Security Standards” (kurz PCI) dar, der für bei uns hostende und ihren Kunden Kreditkartenzahlung anbietende Shopanbieter usw. von Bedeutung ist.

Die neue Konfiguration wurde seit längerer Zeit aktiv bei uns getestet und selbst genutzt, weshalb wir mit keinen Problemen  auf Kundenseite rechnen. In Einzelfällen könnten Benutzer verwalteter Browser eine SSL-Fehlermeldung erhalten; dann ist ein Upgrade auf einen (halbwegs) aktuellen Internetbrowser dringend zu empfehlen – nicht zuletzt aufgrund oft gravierender Sicherheitsmängel in den veralteten Programmversionen.

Die Umstellung der dedizierten Server erfolgt übrigens selbstverständlich auch – und zwar noch im Laufe dieser Woche.