Zertifikats-Sicherheit bei Webdepot Server

[ygw]

Guten Tag,

Wir haben über das Subdepot-Webservices Paket einen HTTP(S) basierten Depotserver (v16) in der DMZ aufgebaut. Die Variable WEBSERVER_SSL_CERTIFICATE ist leer, somit wurde der IIS mit einem selbstsignierten Zertifikat konfiguriert. Alles funktioniert soweit problemlos, jedoch gibt es gewisse Sicherheitsbedenken.

Konkret geht es darum, dass die Softwareverteilung schon von Anfang an funktioniert hat und dafür nicht einmal ein Zertifikat auf dem Client importiert werden musste oder ähnlich. Durch das asynchrone Verschlüsselungsverfahren müsste die Verschlüsselung an sich schon sicher sein, jedoch fehlt nach meinem Verständnis die sichere Identitätsprüfung des Depotservers. Somit wäre eine man-in-the-middle Attacke möglich und ein Angreifer könnte das Passwort für den Zugriff auf die Softwarepakete von einem Client bekommen oder Malware verteilen.

Wie kann das ausgeschlossen werden? Nach meinem Verständnis müsste der Agent folgendes prüfen:
1. Ist das Zertifikat auf die richtige URL ausgestellt?
2. Ist das Zertifikat vertrauenswürdig (von einer Vertrauenswürdigen Zertifizierungsstelle ausgestellt)

Die Dokumentation dazu ist leider mangelhaft. Ich vermutete zuerst, dass die Variable WEBSERVER_SSL_CERTIFICATE auch beim Client eine Funktion hat und nicht nur bei der Installation des Depotservers, das konnte ich aber bei meinen Tests nicht bestätigen. Ich kann irgendwelche Fantasiewerte angeben und der Client installiert trotzdem Software von dem Server.

Freundliche Grüsse,
Yves Gwerder

[ygw]

Wir haben einen Support-Case eröffnet und folgende Antwort bekommen.

Aktuell dient die Nutzung von https der Absicherung der Daten (Authentifizierung und Nutzdaten). Eine Validierung der Zertifikate ist aktuell nicht implementiert. Dies ist aber geplant."

Es freut mich natürlich, dass sich Matrix42 irgendwann auch um das Thema Sicherheit kümmern wird, ich muss aber jetzt eine Lösung finden. Wir werden jetzt versuchen, das über unsere Proxy-Lösung zu implementieren, zumindest bis der Agent selber sicher genug ist. Wäre schade, wenn wir deshalb zu einem Konkurrenzprodukt wechseln müssten, da wir ansonsten sehr zufrieden mit der Lösung sind.

[ygw]

Version 16.1 unterstützt dies nun, ich habe es aber noch nicht ausprobiert:

In der Agent Konfiguration (Agent Template) kann nun festgelegt werden, ob der Agent nur zu vertrauenswürdigen Servern eine Verbindung per https aufbaut. Vertrauenswürdig sind Server, deren Zertifikat vom Client als vertrauenswürdig eingestuft werden (Trusted sites). Diese Überprüfung verhindert mögliche “Man in the middle” Attacken.