Hallo, ich verwende OpenSLL + Indy, bzw OpenSSL + eigenen Webserver.

Die Frage die sich mir nun stellt, gibt es wo Infos wie sicher das ganze nun ist?
Was kann ein Hacker mit den OpenSSL Dll's machen wenn er da irgendwelche Löcher findet?

Mir geht es nur darum das ich einem Kunden sicherstellen muss, das niemand durch diesen Port, in das System kommt.
Wenn der HAcker die EXE abstürzen lässt oder so, das wäre mir "egal", wichtig ist, das er nichts auf das System installieren kann, oder andere Files löschen/verschlüsseln usw kann.

Kommt auf die Lücke an und auf die Rechte der Anwendung.
Wenn der Angreifer Deine Anwendung übernimmt, hat er die Rechte, die man der Anwendung gibt. Was Deine Anwendung nicht darf, kann dann der Angreifer (direkt) auch nicht Nutzen. Das könnte er nur, wenn er die Lücke nutzen kann um über andere Lücken ( in System-Bestandteilen wie Dlls, Dienste usw.) höhere Rechte zu erlangen.

Ist denn auch gesichert das es keinen Man-In-the-Middle Angriff geben kann,
über das Netz und DNS-Abfrage, z.B. ?
OpenSSL ist ja nur EIN Teil des des ganzen Sicherheits-Konzepts.

Die Sicherheit deines Webservers bzgl. SSL kannst du hiermit testen: https://www.ssllabs.com/ssltest/index.html
Die Seite zeigt dir detaillierte Berichte an. Ganz interessant über was man dabei so stolpern kann.

Zitat von tggmx:

Die Sicherheit deines Webservers bzgl. SSL kannst du hiermit testen: https://www.ssllabs.com/ssltest/index.html
Die Seite zeigt dir detaillierte Berichte an. Ganz interessant über was man dabei so stolpern kann.

Cool, Danke für den Tipp. Das kannte ich noch nicht und habe dadurch gemerkt, dass mein Server noch TLS 1.0/1.1 zulässt, was ja mittlerweile eigentlich eher "bäh" ist. Hab mich dann mal direkt darum gekümmert.

Zur eigentlichen Frage: mir war das mit Indy/OpenSSL etwas zu nervig. Du musst immer im Blick haben, wenn eine neue OpenSSL-Version rauskommt und müsstest dann deine Server manuell aktualisieren. Außerdem ist das reguläre Indy-Release noch immer nicht kompatibel mit neuen OpenSSL-Versionen (auch wenn es Leute gibt, die sich dankenswerterweise darum kümmern). Ich habe mich daher dazu entschieden, einen IIS (unter Windows) bzw. einen Apache (unter Linux) als Reverse-Proxy vor meinen Delphi-Webserver zu hängen. Das heißt, die ganze Kommunikation und damit auch die Verschlüsselung nach außen läuft über IIS/Apache und die werden durch automatische Update aktualisiert, falls es mal Probleme gibt. Der Delphi-Webserver ist direkt von außen nicht erreichbar. Ich habe da zwar der Vollständigkeit halber auch https-Support mit Indy eingebaut, nutze den aber produktiv nicht.

Ok danke mal für die ganzen Tipps, werde mir das mit dem SSL Server Test mal anschauen, und die Reverse Proxy klingt auch gut.

Beim Reverse Proxy wird man den Windows IIS nehmen müssen vermute ich? Weil nginx und co auf windows ja nicht wirklich gut sein sollten.