Hallo, ich verwende OpenSLL + Indy, bzw OpenSSL + eigenen Webserver.

Die Frage die sich mir nun stellt, gibt es wo Infos wie sicher das ganze nun ist?
Was kann ein Hacker mit den OpenSSL Dll's machen wenn er da irgendwelche Löcher findet?

Mir geht es nur darum das ich einem Kunden sicherstellen muss, das niemand durch diesen Port, in das System kommt.
Wenn der HAcker die EXE abstürzen lässt oder so, das wäre mir "egal", wichtig ist, das er nichts auf das System installieren kann, oder andere Files löschen/verschlüsseln usw kann.

Kommt auf die Lücke an und auf die Rechte der Anwendung.
Wenn der Angreifer Deine Anwendung übernimmt, hat er die Rechte, die man der Anwendung gibt. Was Deine Anwendung nicht darf, kann dann der Angreifer (direkt) auch nicht Nutzen. Das könnte er nur, wenn er die Lücke nutzen kann um über andere Lücken ( in System-Bestandteilen wie Dlls, Dienste usw.) höhere Rechte zu erlangen.

Ist denn auch gesichert das es keinen Man-In-the-Middle Angriff geben kann,
über das Netz und DNS-Abfrage, z.B. ?
OpenSSL ist ja nur EIN Teil des des ganzen Sicherheits-Konzepts.

Die Sicherheit deines Webservers bzgl. SSL kannst du hiermit testen: https://www.ssllabs.com/ssltest/index.html
Die Seite zeigt dir detaillierte Berichte an. Ganz interessant über was man dabei so stolpern kann.

Zitat von tggmx:

Die Sicherheit deines Webservers bzgl. SSL kannst du hiermit testen: https://www.ssllabs.com/ssltest/index.html
Die Seite zeigt dir detaillierte Berichte an. Ganz interessant über was man dabei so stolpern kann.

Cool, Danke für den Tipp. Das kannte ich noch nicht und habe dadurch gemerkt, dass mein Server noch TLS 1.0/1.1 zulässt, was ja mittlerweile eigentlich eher "bäh" ist. Hab mich dann mal direkt darum gekümmert.

Zur eigentlichen Frage: mir war das mit Indy/OpenSSL etwas zu nervig. Du musst immer im Blick haben, wenn eine neue OpenSSL-Version rauskommt und müsstest dann deine Server manuell aktualisieren. Außerdem ist das reguläre Indy-Release noch immer nicht kompatibel mit neuen OpenSSL-Versionen (auch wenn es Leute gibt, die sich dankenswerterweise darum kümmern). Ich habe mich daher dazu entschieden, einen IIS (unter Windows) bzw. einen Apache (unter Linux) als Reverse-Proxy vor meinen Delphi-Webserver zu hängen. Das heißt, die ganze Kommunikation und damit auch die Verschlüsselung nach außen läuft über IIS/Apache und die werden durch automatische Update aktualisiert, falls es mal Probleme gibt. Der Delphi-Webserver ist direkt von außen nicht erreichbar. Ich habe da zwar der Vollständigkeit halber auch https-Support mit Indy eingebaut, nutze den aber produktiv nicht.

Ok danke mal für die ganzen Tipps, werde mir das mit dem SSL Server Test mal anschauen, und die Reverse Proxy klingt auch gut.

Beim Reverse Proxy wird man den Windows IIS nehmen müssen vermute ich? Weil nginx und co auf windows ja nicht wirklich gut sein sollten.

Ob von Apache oder nginx unter Windows abzuraten ist, weiß ich gar nicht so genau. Bei mir war es eher so, dass auf Windows Server der IIS eh dabei ist und es für mich daher naheliegt, den auch zu benutzen (auch wegen der Updates). Um ihn als Reverse Proxy zu benutzen, muss man sich durch ein paar Anleitungen durchkämpfen, aber eigentlich klappt das ganz gut.

Falls du für dein https dann noch ein Zertifikat brauchst und dir das von Let's encrypt holen willst: ich bin mit win-acme zufrieden - das kümmert sich eigentlich um die ganze Arbeit.

Ich verwende seit einiger Zeit den Caddy Server. Die Konfiguration des Servers ist viel einfach als alles, was ich vorher ausprobiert habe. Die Entwickler setzten auf aktuelle Konzepte und schleppen keine Altlasten mit sich herum. Interessant ist die Möglichkeit, den Server über das Caddyfile zu konfigurieren. Im Caddyfile sind viele Befehle in einfacher Syntax vorhanden. Die Abhängigkeiten zu anderen Einstellungen werden automatisch immer in Richtung Sicherheit aufgelöst. Technisch wird im Hintergrund das Caddyfile in die normale Konfigurationsdatei übersetzt.

Einfaches, aber vollständiges Beispiel für die Caddyfile-Konfiguration eines Reverse Proxy:

markieren

Code:

meineDomain.de {
  reverse_proxy localhost:8080
}

Nach dem Start installiert der Server automatisch jeweils ein SSL Zertifikat von Let's Encrypt und ZeroSSL. Auch die Verlängerungen werden automatisch erledigt. Zugriff erfolgt über "https://meineDomain.de" oder "https://www.meineDomain.de". Anfragen über HTTP werden auf HTTPS umgeleitet. Der Server ist nur ein EXE-Datei und lässt sich unter Windows mit "caddy.exe run" starten.

Hier noch ein Artikel über die Leistungsfähigkeit des Server.

Bis bald...
Thomas

ok den caddy werde ich mir mal anschauen, wichtig wäre halt das sich das Teil schnell und einfach upgraden lässt (damits immer am aktuellen stand steht)

Irgendwo im Netz habe ich zumindest zum nginx gefunden das der für Windows nur zum Testen und nicht für Produktiv verwendet werden soll (aus welchen Gründen auch immer)