Sicherheit auf kompletter Applikationsebene
Neben Zertifikaten mit einer RSA-Schlüssellänge von 3072 bit präferiere ich zusätzlich die Verwendung von ECDSA-Zertifikaten um die Auslastung sowohl für Client und Server zu reduzieren.
Clients teilen dem Server so mittels Cipher-Präferenz mit, ob ECDSA Zertifikate unterstützt werden oder ob auf RSA zurückgefallen werden soll.
Durch eine situationsabhängig speziell angepasste Cipher-Suite wird so die Sicherheit beim Transport verbessert sowie mit zusätzlichen Erweiterungen wie Forward Secrecy, HSTS preload, diverse Security Header wie CSP und Expect-CT sowie OCSP weiter die Sicherheit optimiert.
Beispielsweise verwendet diese Webseite einige dieser Sicherheitsvorkehrungen.
Ein weiteres Beispiel mit vielen Spezialoptimierungen ist die API für uDomainFlag (dfdata.bella.network), welche gleichzeitig RSA & ECDSA und eine auf AES-NI zugeschnittene Cipher-Suite verwendet.
Hinweis: Es werden absichtlich nicht 100% im SSLLabs Test erreicht, da die Deaktivierung von TLS_AES_128_GCM_SHA256 in RFC8446 (TLSv1.3) explizit untersagt ist. (#636)
Neben Zertifikaten mit einer RSA-Schlüssellänge von 3072 bit präferiere ich zusätzlich die Verwendung von ECDSA-Zertifikaten um die Auslastung sowohl für Client und Server zu reduzieren.
Clients teilen dem Server so mittels Cipher-Präferenz mit, ob ECDSA Zertifikate unterstützt werden oder ob auf RSA zurückgefallen werden soll.
Durch eine situationsabhängig speziell angepasste Cipher-Suite wird so die Sicherheit beim Transport verbessert sowie mit zusätzlichen Erweiterungen wie Forward Secrecy, HSTS preload, diverse Security Header wie CSP und Expect-CT sowie OCSP weiter die Sicherheit optimiert.
Beispielsweise verwendet diese Webseite einige dieser Sicherheitsvorkehrungen.
Ein weiteres Beispiel mit vielen Spezialoptimierungen ist die API für uDomainFlag (dfdata.bella.network), welche gleichzeitig RSA & ECDSA und eine auf AES-NI zugeschnittene Cipher-Suite verwendet.
Hinweis: Es werden absichtlich nicht 100% im SSLLabs Test erreicht, da die Deaktivierung von TLS_AES_128_GCM_SHA256 in RFC8446 (TLSv1.3) explizit untersagt ist. (#636)
Testberichte diverser Webseiten
- SSLLabs
- Hardenize
- SecurityHeaders.io
- Observatory by Mozilla
- Mailserver test by Internet.nl
- ImmuniWeb
- Shodan
- Graylog
- check_mk
- eigene Programme
Eigenverwaltung statt Abhängigkeit mit einem Hauch von Cloud
Anstatt auf ein fertiges Webhosting und E-Mail-Service zurückgreifen zu müssen, verwalte ich diese Dienste auf meinen Servern selbst. Sowohl intern als auch extern. Dies erlaubt mir eine weitaus bessere Feinabstimmung der Dienste auf meine sowie die Bedürfnisse der Benutzer.
Gezielter Einsatz von Technologien
Je nach Anwendungsbereich und Einsatzzweck wird die passende Technologie eingesetzt. Ich präferiere als Webserver NGiNX, im Kundenbereich verstärkt Apache2. Als Programmiersprache je nach Projekt Go und alternativ PHP8.
Anstatt auf ein fertiges Webhosting und E-Mail-Service zurückgreifen zu müssen, verwalte ich diese Dienste auf meinen Servern selbst. Sowohl intern als auch extern. Dies erlaubt mir eine weitaus bessere Feinabstimmung der Dienste auf meine sowie die Bedürfnisse der Benutzer.
Gezielter Einsatz von Technologien
Je nach Anwendungsbereich und Einsatzzweck wird die passende Technologie eingesetzt. Ich präferiere als Webserver NGiNX, im Kundenbereich verstärkt Apache2. Als Programmiersprache je nach Projekt Go und alternativ PHP8.
Performance durch Optimierung
Die durchschnittliche Webseitengröße lag 2016 bereits bei über 2,2 MB . Durch Optimierung (z.B. gzip, Brotli, HTTP3, Prefetching …) kann die Performance deutlich verbessert werden.
Die durchschnittliche Webseitengröße lag 2016 bereits bei über 2,2 MB . Durch Optimierung (z.B. gzip, Brotli, HTTP3, Prefetching …) kann die Performance deutlich verbessert werden.
Netzwerktechnik, von lokal zu global
Mein Netzwerk besteht heute aus mehreren Routern, Firewalls, AccessPoints, VLANs und VPN-Verbindungen via WireGuard und BGP. Mehr Details unter Homelab.
Mein Netzwerk besteht heute aus mehreren Routern, Firewalls, AccessPoints, VLANs und VPN-Verbindungen via WireGuard und BGP. Mehr Details unter Homelab.
Zentrales Monitoring und Überwachung
Vertrauen ist gut, Kontrolle ist besser – derzeit werden 70 Server überwacht, mit 9900 Events/Minute per Graylog, checkmk und eigener Software.
Vertrauen ist gut, Kontrolle ist besser – derzeit werden 70 Server überwacht, mit 9900 Events/Minute per Graylog, checkmk und eigener Software.
Ich verwende primär mein Smartphone (iPhone 16 Pro Max) zur Fotografie auf Spazier- und Wandertouren. Weitere Aufnahmen auf meinem pixelfed-Profil.