Web Expert Tarif und Cipher Suites

  • Wir bieten Webhosting an und machen keine Politik. Unseren Kunden verkaufen wir die Möglichkeit Websites möglichst vielen Kunden zuverlässig uns stabil im Internet präsentieren zu können. Ich denke es ist kein Entscheidungsmerkmal für die meisten unserer Kunden die Shared-Webhosting nutzen (davon sind nur wenige hier in Forum aktiv), dass ein Webhoster Besucher aussperrt weil er deren Betriebssystem für unsicher hält. Letztendlich kann jeder Kunde selbst entscheiden welche Besucher er auf seine Website lässt und welche nicht.


    Mit freundlichen Grüßen


    Felix Preuß

  • Ich denke es ist kein Entscheidungsmerkmal für die meisten unserer Kunden die Shared-Webhosting nutzen (davon sind nur wenige hier in Forum aktiv), dass ein Webhoster Besucher aussperrt weil er deren Betriebssystem für unsicher hält.

    Ich stelle da einmal in den Raum, dass vielleicht vielen Kunden gar nicht bewusst ist, wie genau TLS funktioniert oder wo Probleme mit SHA-1/DES bestehen, weil sie sich dafür nicht interessieren. Das liegt aber nicht an netcup, sondern hat andere Gründe. Aber auch ich finde die Begründung seltsam, dass die Sicherheit von TLS eingeschränkt werden muss, weil es noch einen Bruchteil von Internetnutzern mit unsicheren Betriebssystemen gibt.


    Trotzdem danke für die Aussage, die zusammenfassend bedeutet, dass sich dieses Thema erledigt hat.

  • Wobei man das an dieser Stelle vielleicht auch nochmal etwas relativieren muss. Es gibt ja immernoch eine Art "Server Cipher Order" und sobald der Client eine sichere Cipher Suite unterstützt (also 99% aller Clients), dann wird diese auch genutzt. Die zusätzlichen Ciphers kommen ja wirklich nur dann zum Einsatz, wenn gar keine andere Möglichkeit besteht. Die Sicherheit von der Verbindung wird daher für den größten Teil der Clients also überhaupt nicht eingeschränkt. Das reine Anbieten dieser Ciphers ist also nicht unbedingt ein Problem. Problematisch wird es an dieser Stelle nur, wenn es einem MitM gibt, der es schafft, einen Fallback auf eine weniger sichere Verbindung zu erzwingen, wie z.B. bei


    Ich denke also, wenn einem die SSL Sicherheit so wichtig ist, ist ein Shared Webhosting vielleicht auch nicht unbedingt das richtige Produkt. Mit einem eigenen Server hat man ja problemlos die Möglichkeit die SSL Konfiguration so zu machen wie man sie gerne hätte.

  • Es gibt aber Leute, die haben keine Zeit / Lust einen Server zu konfigurieren oder haben auch einfach nicht das umfängliche Wissen, warum sollte man nur für eine SSL Konfiguration, die so langsam Standard wird oder bei anderen Anbietern schon ist, auf einen Server wechseln? Ich glaube manchmal ist dies für beispielsweise nur eine geschäftliche Seite doch ein wenig überproportioniert und steht in keinem Verhältnis zu Aufwand und Nutzen.


    Es geht doch auch anders, wie man sieht (siehe Anhang). Und wie man sieht können auch die alten IE damit umgehen und sorry, Windows XP hat nur noch eine Verbreitung von 9%, wobei ich nicht wissen möchte, wie viele davon in öffentlichen Einrichtungen stehen. Damit ist der eigentlich interessante Anteil doch noch deutlich geringer, zumal diese Maschinen die Website sowieso nicht richtig darstellen mit CSS3 und HTML5, also so what.

  • Es gibt aber Leute, die haben keine Zeit / Lust einen Server zu konfigurieren oder haben auch einfach nicht das umfängliche Wissen [...]

    Natürlich können das nicht viele. Aber wer sich wirklich Sorgen um konfigurierte SSL Ciphers macht, der hat doch sicherlich etwas mehr Ahnung von der Materie und wäre dazu durchaus in der Lage. Für mich passt das einfach nicht so richtig zusammen. Webhosting ist an sich ja schon ein Kompromiss. Man teilt sich mit vielen anderen einen Server. Aber auf der anderen Seite kritisiert man dann den Anbieter, dass er versucht auf Kompatibilität zu achten. Darüber hinaus gibt es ja auch immer noch Managed Server. Dort kann man sicherlich seine Wünsche umsetzen lassen, wenn man wirklich keine Zeit oder Wissen hat wie man es selbst konfiguriert.


    Ich verstehe das ja im Grunde schon. Ich mache mir selbst auch sehr viele Gedanken um die Sicherheit meiner Dienste. Aber ich nutze deswegen auch kein Webhosting, sondern einen eigenen Server, weil ich diesen so konfigurieren kann wie ich es gerne hätte.

  • ich schließe mich dem völlig an.


    Wer noch XP nutzen sollte und muss meiner Meinung nach mit allen Mitteln gezwungen werden das zu ändern!


    XP Nutzer sind meiner Meinung nach eine Gefahr für das gesamte www. Darauf darf man keine Rücksicht mehr nehmen.


    Für hier angesprochen 12 % (sorry) völlig inkompetenter Nutzer den Rest massiv zu gefährden ist Fahrlässigkeit.


    Immerhin gibt es ja mittlerweile auch überall Tankstellen und keine Pferdetränken

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

  • Für hier angesprochen 12 % (sorry) völlig inkompetenter Nutzer den Rest massiv zu gefährden ist Fahrlässigkeit.

    Sorry, aber das ist einfach nicht richtig. Wie in einem obigen Post erwähnt, betrifft es die meisten User doch überhaupt nicht. Sobald der Client eine sichere Cipher Suite unterstützt, wird diese auch genutzt. Es wird dank der "Server Cipher Order" IMMER die bestmögliche Cipher gewählt, wenn der Server diese als erstes konfiguriert hat - was ja auch bei Netcup der Fall ist. Die ganzen "schlechten" Ciphers sind alles nur Fallback-Lösungen, wenn keine andere Wahl besteht.


    Es besteht hier also überhaupt keine Gefahr für User, die aktuelle Software einsetzen. In diesem Fall ist die Verbindung immer sicher. Die alten Ciphers gelten ja nur für alte Clients, die sich noch verbinden wollen. Dass ist ja dann auch ausschließend deren Problem.

  • Die Diskussion hier vergisst aus meiner Sicht auf einen sehr wesentlichen Aspekt: Welchen Wert haben denn die Daten, die auf shared Webhosting-Accounts bei NetCup liegen? Ich mutmaße mal, dass die Vertraulichkeits- und Integritäts-Anforderungen für 99% der Kunden die hier Webhosting-Accounts nutzen völlig egal sind. Da liegen vermutlich ohnehin nur die im Public-Web frei verfügbar gemachten Inhalte drauf.


    Ich bin auch kein Fan davon, alte CipherSuites bis zum Sankt-Nimmerleinstag weiter zu unterstützen. Aber auf Shared-Webhosting legt doch hoffentlich niemand sensible Daten ab, die dann ausschließlich mittels starker Chiffren ausgeliefert werden dürfen? Wenn jemand solche Anforderungen hat, dann wird er mit diesem Requirement wohl eher einen Managed-Server wählen oder sich der Sache selbst annehmen - immerhin werden diesbezüglich ja im Produkt-Angebot auch keinerlei Zusagen gemacht.


    Wer sich einen Überblick verschaffen möchte, welche Clients welche Crypto-Merkmale unterstützen, dem sei diese Übersicht hier ans Herz gelegt:

    https://www.ssllabs.com/ssltest/clients.html

    Man muss übrigens gar kein Windows XP einsetzen, um von der Thematik betroffen zu sein. Ein 3 Jahre altes Android-Phone mit Android 4 oder eine Java7-Applikation reichen auch aus, um mit einem "streng" konfigurierten Server nicht mehr kommunizieren zu können.

  • ich habe extra XP angesprochen und darauf bezogen, weil es dafür eben keine Patches mehr gibt (wie auch alte Android oder iOS oder eben Java systeme )und IE darauf gar nicht aktualisiert werden kann, wenn ich nicht irre.


    Ich habe mich daher ganz bewusst auf XP bezogen, weil ich es nicht nachvollziehen kann, dass jemand nicht Xp nutzt. Sollte ein mögliches Druckmittel bestehen diese auf Linux oder meinerwegen ein Windows 10 zu bringen sollte dies genutzt werden.


    Außerdem kann man ja nicht sagen "Auf Shared Hosting liegen keine Sensiblen Daten" - das sollte man sich schnell aus dem Kopf schlagen. Denn schon alleine die Registrierung bei einem Forum oder WordPress ist in meinen Augen ein schützenswertes Datentum.


    Es gibt auch genug die auf einem Shared Hosting Shops betreiben. Also zu sagen oder zu hoffen, dass da keine Sensiblen Daten liegen ist glaube ich der falsche Weg.

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

  • Auch für Android 4 und Java 7 gibts es keine Patches mehr.

    Der Verbreitungsgrad ist dennoch nicht auf 0% abgesunken.


    Als Anbieter von Content habe ich die freie Wahl des Anbieters, der Lösung und des Schutzniveaus.

    Was ich mir jedoch nicht direkt aussuchen kann ist, mit welchen Clients meine Nutzer zugreifen.


    Auf meinem eigenen Server kann ich freilich eine Entscheidung treffen, und den Trade-Off Kompatibilität versus Security in Richtung Security verschieben. Damit nehme ich dann eben in Kauf, dass nicht mehr alle Anwender meine Inhalte nutzen können.


    Auf einer Shared-Hosting-Plattform (die man sich ja mit anderen teilt) muss dieser Trade-Off jedoch ausgewogen und dem typischen Content und Schutzbedarf angepasst gewählt werden. Hier zu fordern, dass TLS 1.0 und 1.1 ausgeschaltet werden müssen erscheint mir persönlich überzogen. Immerhin hosten darauf die Mehrzahl der Kunden vermutlich nur einfache Informationsangebote, deren Interessenten dann eventuell ausgesperrt sind. Oder wie erklärst Du dem Betreiber einer Frühstückspension, warum die Windows XP nutzenden Kunden aus Asien plötzlich ausbleiben und nicht mehr Preise und Zimmerausstattung nachschauen können?

  • woher nimmst du die Vermutung oder das wissen was dir fremde Personen auf ihrem Server haben? Woher kommt dein, ich sag jetzt man Recht meine das aber nicht böse, für andere zu entscheiden welches Schutzniveau sie bekommen und vorallem brauchen?

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

  • Jemand der ein gehobenes Schutzniveau benötigt wird wohl kaum ein Shared-Webhosting dafür nutzen.

    Immerhin teilt man sich dabei nicht nur die TLS-Settings mit allen anderen Kunden. Man teilt sich das OS, die Webserver- und die Datenbank-Instanz. Wer ein überdurchschnittliches Schutzniveau sucht oder benötigt, wird daher Wert auf Abschottung des Systems legen und sich nicht die angesprochenen Software-Instanzen mit anderen Unbekannten teilen, sondern im Minimum eine eigene (virtuelle) Maschine für seine Bedürfnisse nutzen.

  • Korrigiert mich wenn ich falsch liege: Die XP Rechner kommen doch durch die SNI Zertifikate sowieso nicht auf die Seite, oder ?

    Kommen zwar durch, aber bekommen bei der Ausnutzung von CSS3 und HTML5 sowieso nur eine verschobene Seite zu sehen, sodass Sie trotz dessen nichts mit der Seite anfangen können, aber Sie sind dann wenigstens auf der Website :D Siehe hier bei CSS3: https://msdn.microsoft.com/en-…ry/hh781508(v=vs.85).aspx


    Jeder hat seine eigene Sicht und das ist auch gut so.