none
LogJam: Diffie-Hellman for TLS RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Leute,

    gestern wure ja bei Heise.de der Artikel "Logjam-Attacke: Verschlüsselung von zehntausenden Servern gefährdet"" veröffentlicht. Heise Ein Kollege hat dann gestern über die Webseite weakdh.org  unsere Seite getestet und bekam die Warnmeldung "Warning! This site does not support perfect forward secrecy....". Angemerkt wird hier "Elliptic-Curve Diffie-Hellman"

    Umgebung: Wir haben derzeit einen TMG der OWA/Active Sync auf unsere CAS-Server (Ex2k10 SP3 UR 8) weiterleitet.

    Werdet Ihr bei Euch tätig und wenn ja mit welchen Tätigkeiten?

    • Bearbeitet Lexxitus Mittwoch, 27. Mai 2015 06:18
    Donnerstag, 21. Mai 2015 06:53
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    wie gesagt: Nimm IIS Crypto, dann sparst Du Dir das rumfummeln an der Registry oder mit GPO.

    Oder Du nimmst einmal IIS Crypto bis es wie erwartet funktioniert und schaust Dir dann die Einstellungen an und übernimmst die dann in eine GPO.

    Wir machen die Einstellungen auf ALLEN Servern, bei Exchange also auch auf den Mailbox und Hubtransport-Servern - und auf dem TMG.

    Und wir hatten bei der Einstellung "Best Practis" (bringt bei SSLabs ein A) außer ein paar uralte Clients keine Probleme.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert Lexxitus Freitag, 22. Mai 2015 10:34
    Freitag, 22. Mai 2015 09:11
    |
  • Question
    Anmelden
    0
    Anmelden

    Wir haben dies jetzt auf den Systemen per Skript gesetzt (identisch zu IIS Crypto) und es läuft bis jetzt alles und kein Kunde hat bisher etwas gemeldet.

    Dabnke für den Tipp nochmals ;-)

    MfG Paul

    • Als Antwort markiert Lexxitus Freitag, 26. Juni 2015 12:41
    Freitag, 26. Juni 2015 12:41
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    bei uns gehört es schon seit einem Jahr zum Standard, dass alle Windows Server mit IIS Crypto die Einstellung "Best Practise" bekommen.

    Damit rutschen die ECDHE Suites nach oben und DHE wird deaktiviert (und es wird SSL komplett deaktiviert, usw.).

    Diese Einstellungen sind auch auf Exchange 2010 und TMG aktiv und bringen bei weakdh.org diese Bewertung:

    Good News! This site is safe from the Logjam attack. It supports ECDHE, and does not use DHE.

    Probleme hatten wir nur mit einigen ganz alten Androids, sonst aber keine.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Donnerstag, 21. Mai 2015 14:52
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Robert,

    danke für deine Rückantwort.

    Könntest Du mir bitte mitteilen welche Einstellungen Ihr an der GPO für die Systeme (TMG, Exchange) vorgenommen habt.

    Das müsste man doch unter "Computerkonfiguration > Administrative Vorlage > Netzwerk > SSL-Konfigurationseinstellungen" bei "Reihenfolge der SSL-Verschlüsselungssammlungen" einzustellen sein, oder?

    Die Einstellungen sollten am TMG und den CAS Servern umgesetzt, oder? Hat dies Auswirkungen auf Outlook Clients (2003, 2007, 2010)?

    Entschuldige die Fragen vor dem Wochenende ;-)


    • Bearbeitet Lexxitus Mittwoch, 27. Mai 2015 06:18
    Freitag, 22. Mai 2015 09:04
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    wie gesagt: Nimm IIS Crypto, dann sparst Du Dir das rumfummeln an der Registry oder mit GPO.

    Oder Du nimmst einmal IIS Crypto bis es wie erwartet funktioniert und schaust Dir dann die Einstellungen an und übernimmst die dann in eine GPO.

    Wir machen die Einstellungen auf ALLEN Servern, bei Exchange also auch auf den Mailbox und Hubtransport-Servern - und auf dem TMG.

    Und wir hatten bei der Einstellung "Best Practis" (bringt bei SSLabs ein A) außer ein paar uralte Clients keine Probleme.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert Lexxitus Freitag, 22. Mai 2015 10:34
    Freitag, 22. Mai 2015 09:11
    |
  • Question
    Anmelden
    0
    Anmelden

    Danke Robert.

    Ich werde es bei uns mal testen und wünsche Dir ein erholdames (langes) Wochenende ;-)

    • Bearbeitet Lexxitus Mittwoch, 27. Mai 2015 06:18
    Freitag, 22. Mai 2015 10:34
    |
  • Question
    Anmelden
    0
    Anmelden

    Als Unterstützung zu Robert, wir machen das auf den Exchange bei uns auch so.

    Grüße

    Jörg

    Freitag, 22. Mai 2015 11:11
    |
  • Question
    Anmelden
    0
    Anmelden
    Also ich habe den Test auch interessehalber auf einigen URLs von Kunden ausgeführt, dabei fiel mir auf dass bei Exchange 2013 bzw. Server 2012 R2 dies anscheinend ohnehin behoben ist?
    Freitag, 22. Mai 2015 12:26
    |
  • Question
    Anmelden
    0
    Anmelden

    Wir haben dies jetzt auf den Systemen per Skript gesetzt (identisch zu IIS Crypto) und es läuft bis jetzt alles und kein Kunde hat bisher etwas gemeldet.

    Dabnke für den Tipp nochmals ;-)

    MfG Paul

    • Als Antwort markiert Lexxitus Freitag, 26. Juni 2015 12:41
    Freitag, 26. Juni 2015 12:41
    |