it-themen:grundlagen:netzwerkdienste:verschluesselung
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
| it-themen:grundlagen:netzwerkdienste:verschluesselung [04.12.2025 14:36] – [5. TLS & HTTPS] lars | it-themen:grundlagen:netzwerkdienste:verschluesselung [04.12.2025 14:39] (aktuell) – [Zusammenfassung] lars | ||
|---|---|---|---|
| Zeile 218: | Zeile 218: | ||
| < | < | ||
| - | Root CAÂ | + | Â |
| - | ↓ signiert | + | Root CA |
| - | Intermediate CAÂ | + | |
| - | ↓ signiert | + | |
| - | Server Zertifikat | + | |
| + | | ||
| + | Â | ||
| </ | </ | ||
| Der Client vertraut → Root CA → Intermediate → Server | Der Client vertraut → Root CA → Intermediate → Server | ||
| → wenn eine Stufe fehlt: „Zertifikat nicht vertrauenswürdig“. | → wenn eine Stufe fehlt: „Zertifikat nicht vertrauenswürdig“. | ||
| + | |||
| --- | --- | ||
| Zeile 264: | Zeile 268: | ||
| ===== Webserver ===== | ===== Webserver ===== | ||
| - | * HTTPS per TLS 1.2+ Â | + | * HTTPS per TLS 1.2+Â |
| - | * Let’s Encrypt via ACME (Traefik) | + | * Let’s Encrypt via ACME (Traefik) |
| ===== Mailserver ===== | ===== Mailserver ===== | ||
| - | * STARTTLS | + | * STARTTLSÂ |
| - | * SMTPS (465) Â | + | * SMTPS (465)Â |
| - | * DANE optional | + | * DANE optional |
| ===== VPN ===== | ===== VPN ===== | ||
| - | * WireGuard (modern) → Curve25519 | + | * WireGuard (modern) → Curve25519 |
| - | * OpenVPN → TLS | + | * OpenVPN → TLS |
| ===== Container & Microservices ===== | ===== Container & Microservices ===== | ||
| - | * interne TLS-Kommunikation | + | * interne TLS-Kommunikation |
| - | * mTLS (Mutual TLS) in Service Meshes (z. B. Istio) | + | * mTLS (Mutual TLS) in Service Meshes (z. B. Istio) |
| ===== Backups ===== | ===== Backups ===== | ||
| - | * AES-Verschlüsselung | + | * AES-Verschlüsselung |
| - | * GPG für signierte Archive | + | * GPG für signierte Archive |
| --- | --- | ||
| Zeile 289: | Zeile 294: | ||
| ===== 1) Nur moderne Protokolle verwenden ===== | ===== 1) Nur moderne Protokolle verwenden ===== | ||
| - | * TLS 1.2 / 1.3 Â | + | * TLS 1.2 / 1.3Â |
| - | * keine alten Ciphers (RC4, 3DES, MD5, SHA1) | + | * keine alten Ciphers (RC4, 3DES, MD5, SHA1) |
| ===== 2) Private Keys gut schĂĽtzen ===== | ===== 2) Private Keys gut schĂĽtzen ===== | ||
| - | * 600-Rechte | + | * 600-Rechte |
| - | * niemals teilen | + | * niemals teilen |
| - | * nie per E-Mail versenden | + | * nie per E-Mail versenden |
| ===== 3) Zertifikate automatisch erneuern ===== | ===== 3) Zertifikate automatisch erneuern ===== | ||
| - | * Let’s Encrypt (ACME) | + | * Let’s Encrypt (ACME) |
| - | * Cronjobs oder Traefik-Auto-Renewal | + | * Cronjobs oder Traefik-Auto-Renewal |
| ===== 4) HSTS aktivieren ===== | ===== 4) HSTS aktivieren ===== | ||
| - | * Browser erzwingt HTTPS | + | * Browser erzwingt HTTPS |
| ===== 5) Passwort-Hashverfahren modern halten ===== | ===== 5) Passwort-Hashverfahren modern halten ===== | ||
| - | * Argon2id | + | * Argon2id |
| - | * bcrypt | + | * bcrypt |
| ===== 6) Nutzung von MFA erzwingen ===== | ===== 6) Nutzung von MFA erzwingen ===== | ||
| Zeile 313: | Zeile 318: | ||
| ===== 8) interne TLS-Verbindungen prĂĽfen ===== | ===== 8) interne TLS-Verbindungen prĂĽfen ===== | ||
| - | * LDAP StartTLS | + | * LDAP StartTLSÂ |
| - | * Datenbankverbindungen (MariaDB SSL) | + | * Datenbankverbindungen (MariaDB SSL)Â |
| --- | --- | ||
| Zeile 320: | Zeile 326: | ||
| ====== Zusammenfassung ====== | ====== Zusammenfassung ====== | ||
| - | * Symmetrisch = schnell, gleicher Schlüssel | + | * Symmetrisch = schnell, gleicher Schlüssel |
| - | * Asymmetrisch = Public/ | + | * Asymmetrisch = Public/ |
| - | * Hashes dienen der Integrität & Passwortspeicherung | + | * Hashes dienen der Integrität & Passwortspeicherung |
| - | * TLS verschlüsselt Web-, Mail- und API-Verkehr | + | * TLS verschlüsselt Web-, Mail- und API-Verkehr |
| - | * Zertifikate basieren auf PKI & Chain of Trust  | + | * Zertifikate basieren auf PKI & Chain of Trust |
| - | * Let’s Encrypt ermöglicht automatische Zertifikate | + | * Let’s Encrypt ermöglicht automatische Zertifikate |
| - | * Moderne Sicherheit = starke VerschlĂĽsselung + sichere SchlĂĽsselverwaltung | + | * Moderne Sicherheit = starke VerschlĂĽsselung + sichere SchlĂĽsselverwaltung |
it-themen/grundlagen/netzwerkdienste/verschluesselung.1764855371.txt.gz · Zuletzt geändert: von lars