SSL/TLS-Bedrohungsmodell.

Handshake-Stufe

• Versions-Verhandlung. TLS 1.0/1.1 deprecated (RFC 8996, 2021). TLS 1.2 noch akzeptabel mit eingeschränkten Ciphern; TLS 1.3 bevorzugt. SSLv2/v3 überall disabled.
• Downgrade-Angriffe.
  • POODLE (SSLv3-Padding-Oracle) — SSLv3 killen.
  • Versions-Rollback in Clients, die TLS-Support behaupten — TLS 1.3 enthält SCSV-Mechanismus zur Detektion.
  • Client-Signal "Ich unterstütze bis X" — Server muss X-oder-höher erzwingen.
• Cipher-Suite-Auswahl.
  • Deprecated: RC4 (RFC 7465), 3DES (Sweet32), CBC-Mode mit SHA1-MAC (Lucky 13, BEAST), Export-Grade-RSA (FREAK, Logjam), Static-RSA-Key-Exchange (keine Forward-Secrecy).
  • Aktuell sicher (TLS 1.2): ECDHE-RSA / ECDHE-ECDSA mit AES-GCM oder ChaCha20-Poly1305 + SHA-256/SHA-384.
  • Aktuell sicher (TLS 1.3): TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256. Alle by-default Forward-Secret.
• Renegotiation. Secure-Renegotiation-Extension RFC 5746 erforderlich. Legacy-Server ohne = anfällig für Injection.

Certificate-Path / PKI

• Trust-Store. OS-Bundle (Microsoft, Apple, Mozilla NSS). Custom-Enterprise-CA vorsichtig angehängt — over-broad Trust = SSL-Inspection wird Lateral-Movement-Kanal wenn Appliance kompromittiert.
• Chain-Konstruktion. Server soll gesamte Chain außer Root senden. Fehlendes Intermediate = Client muss aus AIA fetchen (langsam, manchmal failing).
• Validation-Strenge. Verifizieren: Chain zu Trusted-Root, Gültigkeitsdaten, Hostname-Match, Key-Usage-Extension, Basic-Constraints, Name-Constraints.
• Revocation.
  • CRL: groß, periodisch heruntergeladen, oft Soft-Fail (unreachable als valid behandelt).
  • OCSP: Echtzeit, Privacy-Leak (CA lernt wen du besuchst), oft Soft-Fail.
  • OCSP-Stapling: Server inkludiert CA-signed Status im Handshake. Am nächsten an der richtigen Antwort.
  • Kurzlebige Certs (Let's Encrypt 90 Tage, irgendwann 6 Tage) machen Revocation weniger kritisch.
• Certificate-Transparency. Alle Public-CA-Issuance in Append-Only-Merkle-Trees geloggt. Eigene Domains via crt.sh, certstream, Censys auf Mis-Issuance monitoren. Fängt Phishing-Certs und Rogue-CAs.
• Pinning. HPKP deprecated (Foot-Gun). Statisches Pinning nur in Mobile-Apps nutzen. Für Web: auf CT-Monitoring + kurze Cert-Lifetimes setzen.
• HSTS. Strict-Transport-Security: max-age=63072000; includeSubDomains; preload. Preload-Liste via hstspreload.org killt First-Visit-Downgrade.

Historische Angriffs-Timeline

• BEAST (2011). CBC-IV vorhersagbar in TLS 1.0. Counter: 1/n-1-Split oder TLS 1.1+.
• CRIME (2012). TLS-Kompression leakt via Länge. Counter: TLS-Level-Kompression disabeln.
• BREACH (2013). HTTP-Level-Kompression leakt reflected Secrets. Counter: nicht komprimieren + nicht reflektieren.
• Lucky 13 (2013). CBC-MAC-Timing-Leak. Counter: AEAD-Cipher.
• POODLE (2014). SSLv3-Padding-Oracle. Counter: SSLv3 killen.
• FREAK / Logjam (2015). Export-Grade-RSA / DH durch Downgrade erzwungen. Counter: EXPORT-Ciphers killen, ≥2048-bit DH oder ECDHE.
• DROWN (2016). SSLv2 auf gleichem Key wie TLS-1.2-Server kompromittiert beide. Counter: SSLv2 killen, getrennte Keys.
• Sweet32 (2016). 64-bit-Block-Cipher (3DES) Kollisions-Angriff auf langlebige Connection. Counter: AES.
• ROBOT (2017). Bleichenbacher auf miskonfiguriertem RSA-PKCS#1v1.5 wiederbelebt. Counter: ECDHE bevorzugen; bei RSA Vendor-Patches.

Aktuelle sichere Baseline

• TLS 1.3 mit TLS-1.2-Fallback (nur für ancient Client-Kompatibilität).
• Cipher limitiert auf AES-GCM, AES-CCM, ChaCha20-Poly1305.
• ECDHE (P-256 oder X25519) für Key-Agreement.
• Cert mit ECDSA P-256 oder mindestens RSA-2048 signiert.
• OCSP-Stapling on, HSTS on mit langer max-age + Preload, CT-Monitoring on.
• Mozilla SSL-Configuration-Generator ("Modern" oder "Intermediate") ist das kanonische Rezept.