Last-Crusade.de – The Empire Writes Black Stories of these dark and modern days…

7Nov/1367

Update auf Prosody 0.9.1 und etwas mehr Sicherheit

Nach längerem bin ich neulich endlich dazu gekommen, meinen hoch geschätzten XMPP-Server auf die Version 0.9.1 zu erheben.

Das Update lief problemlos, die Befürchtung, dass ich an der Config Anpassungen vornehmen müsste haben sich in Luft aufgelöst. Auf jeden Fall -wie bisher immer - ein super release, danke an die Erschaffer (besonders MattJ)!
Was mich übrigens besonders freute war die nun eingeführte IPv6 Unterstützung.

Da ja gerade ein Manifest zur Erhöhung der Sicherheit im allgemeinen Jabber Netz durch bessere Server-zu-Server-Verschlüsselung im Gange ist, habe ich mich mir die Sache auch mal näher angesehen.
xmpp.net erlaubt ja auf sehr comfortable Art und Weise das Testen der Sicherheit eines Server. Aufgrund der Ergebnisse (Prosody hat in der default-config schon ein A-Ranking) habe ich noch ein paar Anpassungen gemacht. Der SSL-Abschnitt in meiner prosody.cfg sieht nun folgendermaßen aus:

ssl = {
key = "/path_to/private_key.pem";
certificate = "/path_to/cert.pem";
options = { "no_sslv2", "no_ticket", "no_compression", "no_sslv3" };
-- Disable some not paranoid-capable ciphers.
ciphers = "HIGH:!DSS:!aNULL@STRENGTH!:!DES-CBC3-SHA:!ECDHE-RSA-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA";
-- Allow perfect forward secrecy.
dhparam = "/path_to/dh-2048.pem";
}

Ich habe einige unsicherere Ciphers ausgeschlossen, SSL3 deaktiviert und Perfect Forward Secrecy aktiviert. Letzteres benötigte übrigens die Installation von luasec-prosody und ist darüber hinaus erst ab OpenSSL Version >= 1.0.0.

Ich denke, insgesamt ist das ein großer Gewinn.

Um die unterstützten Verschlüsselungsverfahren von OpenSSL einzusehen, reicht übrigens folgender Befehl:
openssl ciphers -v 'HIGH:!DSS:!aNULL@STRENGTH!:!DES-CBC3-SHA:!ECDHE-RSA-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA'

Happy chatting! :-)