PFS die “Perfect Forward Secrecy” gilt derzeit als sichere Verschlüsselung, wobei perfekt für alle Zeiten sicher übertrieben ist, weshalb man häufig auch einfach nur “Forward Secrecy (FS)” liest. Mit dem Einsatz von PFS soll – vereinfacht ausgedrückt – verhindert werden, dass eine bereits abgeschlossene verschlüsselte Kommunikation bei nachträglichem Bekanntwerden des verwendeten Schlüssels kompromittiert (und entschlüsselt) werden kann. Dazu muss die Verbindung natürlich mitgeschnitten/aufgezeichnet worden sein.
Die meisten dürften den SSL-Server-Test von Qualys SSL Labs für Ihre Webseite kennen und haben diesen, sofern Sie ein SSL-Zertifikat für ihre Webseite besitzen, vermutlich auch schon einmal durchgeführt. Dieser zeigt ebenfalls an, ob Forward Secrecy beim Verbindungsaufbau des Browsers mit der Webseite genutzt werden kann.
Eine Voraussetzung dafür – und mit aktuellen Browsern kein Problem – ist natürlich auch der verwendete Client (z.B. Webbrowser), der PFS unterstützen muss.
Auch seinen Browser kann man beispielsweise über den SSL Client Test auf die Unterstützung von FS testen.
PFS bei Mailservern
Beides ist jedoch nur beim Aufruf und der Nutzung der Funktionen einer Webseite relevant, nicht jedoch, wenn man E-Mail-Verkehr nutzt. Selbst wenn dabei die Verbindung schon über SSL aufgebaut wird gilt, dass die Mailserver selbst im besten Fall auch PFS unterstützen sollten. Das ist nun endlich auch bei den Mailservern für meine Domain der Fall 🙂
Ergebnis PFS-Check
Ihr könnt eure Domain(s) selbst über die folgende URL prüfen:
https://de.ssl-tools.net/mailservers/
StartTLS bei Mailservern
Passend dazu noch kurz die Ergebnisse der Prüfung auf StartTLS (Wikipedia: http://de.wikipedia.org/wiki/STARTTLS). StartTLS ist jetzt nichts neues und wird bei meinen Domains schon länger unterstützt, ein Test auf starttls.info zeigt allerdings auch die verwendeten Protokolle wie z.B. TLS 1.2 und minimal zugelassene Chiffrensammlung:
Ergebnis StartTLS-Check
Zur Prüfung von Domain(s) auf die Unterstützung von StartTLS nutzt einfach diesen Link:
