Blog & News

Während den letzten Wochen waren wir sehr bestrebt, bzgl. SSL-Verschlüsselung den höchst möglichen Sicherheitsstandard zu erreichen. Es werden nur noch aktuellste Verschlüsselungsalgorithmen eingesetzt, um PFS (Perfect Forward Secrecy) unter jedem Browser/Client zu gewährleisten. Für sämtliche Dienste von Onlime Webhosting setzten wir neu ein SSL-Zertifikat der höchsten Qualitätsstufe "EV" (Extended Validation Certificate) ein. Als Kunde erkennen Sie bei diesem Zertifikat die hohe Vertrauenswürdigkeit des Services durch den markanten visuellen grünen Adressbalken im Browser. Diesen Schritt gehen bisher nur Banken und Grosskonzerne, wir erachteten dies jedoch trotzdem als sinnvoll.

In den letzten Tagen wurden auch sämtliche SSL-Zertifikate auf den Signaturalgorithmus SHA-2 (SHA256) umgestellt. Die Umstellung betrifft auch sämtliche Kunden, welche eigene SSL-Zertifikate im Einsatz haben – diese wurden bereits informiert. Die Zertifikate mussten von der Registrierungsstelle neu ausgestellt und durch uns installiert werden.

Der neue Signaturalgorithmus wird von jedem einigermassen modernen Browser unterstützt – es sollte also keinerlei Probleme auftreten.

Ihre Website sollte nun im bekannten SSL Server Test von QUALYS SSL LABS mit dem Maximal-Rating "A " abschneiden. Überprüfen Sie dies selbst am Beispiel von www.onlime.ch – oder sofern Sie ein eigenes SSL-Zertifikat bei uns nutzen anhand Ihrer eigenen Website.

Technische Details:

Perfect Forward Secrecy (PFS)

Mittels Perfect Forward Secrecy (PFS) kann verhindert werden, dass eine in der Vergangenheit verschlüsselt aufgezeichnete Kommunikation durch Bekanntwerden des geheimen Schlüssels wieder entschlüsselt werden kann. Wird ein Server kompromittiert, erfährt der Angreifer nur den langfristigen Signaturschlüssel und die Sitzungsschlüssel gerade aktiver Verbindungen. Die Sitzungsschlüssel zurückliegender Verbindungen sind bereits gelöscht und lassen sich nicht mehr rekonstruieren.

Signaturalgorithmus SHA-2

Der bisher noch weitverbreitete Hash-Algorithmus zur Zertifikatsunterzeichnung, SHA-1, wird wegen möglicher Anfälligkeiten zunehmend als nicht mehr sicher genug angesehen. Als Konsequenz daraus wird seitens der Browser-Hersteller die Umstellung auf den neuen Standard SHA-2 forciert:

Google hat für den weit verbreiteten Browser Chrome angekündigt, das Verschlüsselungssymbol in der Adressleiste mit Hinweisen zu einem eingeschränkten Sicherheitslevel zu versehen. Dies erfolgt gestaffelt, beginnend mit Version 39 im November 2014 und geltend für SHA-1-Zertifikate mit Gültigkeit über den 31.12.2015 (anfangs noch 2016) hinaus. Microsoft hat für deren Software, darunter der Browser Internet Explorer, angekündigt, dass sämtliche SHA-1-Zertifikate ab 1.1.2016 als unsicher eingestuft werden.

Aus Sicherheitsüberlegungen und aufgrund der oben erwähnten Forcierungsanstrengungen ist eine schnelle Umstellung zu empfehlen, sofern noch SHA-1-Zertifikate im Einsatz sind. Die Umstellung wird durch den Umstand erschwert, dass verschiedene alte Software-Versionen (Browser sowie Server) nicht mit SHA-2 kompatibel sind. Eine ausführliche Übersicht zur Kompatibilität finden Sie hier.

Unser bisheriges Testing unter PHP 5.6 verlief ganz erfreulich. Die PHP-Entwickler scheinen diesmal keine Böcke geschossen zu haben. Wir sind stolz, Ihnen schon heute PHP 5.6 zur Verfügung stellen zu können. Es hat nicht mehr ganz auf ein Day 1 Release gereicht. PHP 5.6 steht Ihnen aber bereits am Tag nach dem offiziellen Release vom 28. August in der ersten stabilen Version 5.6.0 zur Verfügung - für alle Kunden zur Auswahl in unserem Controlpanel.

Aktuell stehen also 4 PHP-Versionen (PHP 5.3, 5.4, 5.5 und 5.6) zur Auswahl, wobei zu beachten ist, dass wir PHP 5.3 noch diesen November 2014 komplett einstellen werden. Bitte testen Sie Ihre Website also schon heute auf einer der aktuellen Versionen PHP 5.5 resp. gleich auf 5.6.

Was ist neu in PHP 5.6?

PHP 5.6 bietet im Vergleich zur Vorgängerversion folgende Neuerungen:

• variadische Funktionen (... Operator)
• rechtsassoziativer Operator (** Operator)
• Importfeatures für Funktionen und Konstanten (use keyword)
• einen interaktiven Debugger (phpdbg)
• Verbesserungen im Bereich Sicherheit und vieles mehr

Ist meine Webapp bereits PHP 5.6-kompatibel?

Aufgrund der sehr geringen Unterschiede zu PHP 5.5 dürften die meisten Systeme bereits jetzt ohne Probleme mit PHP 5.6 funktionieren. Bei einigen CMS-Systemen sollte jedoch noch etwas abgewartet werden, da PHP 5.6 bis heute erst eine geringe Verbreitung hat und Sie wohl kaum unnötig Beta-Tester spielen wollen.

Wir empfehlen Ihnen aber auf jeden Fall, Ihre PHP-Version via unser Controlpanel auf 5.6 umzuschalten - ob zum Test oder gleich definitiv. Sie können jederzeit wieder zurück schalten, sollten Sie auf Probleme mit Ihrer Webapplikation stossen.

Das OpenSSL Entwickler-Team hat heute gleich sieben Schwachstellen bekannt gegeben. Betroffen davon ist OpenSSL 0.9.8, 1.0.0, 1.0.1 und 1.0.2.

Die schwerwiegendste Schwachstelle CVE-2014-0224 - auch bekannt als sogenannte CCS Injection Vulnerability - lässt sich zu man-in-the-middle Attacken ausnutzen. Einen detaillierten Einblick mit technischen Details wurde bereits von Google Mitarbeiter Adam Langley und dem ursprünglichen Entdecker der Schwachstelle Masashi Kikuchi veröffentlicht.

Auch bei diesem Vorfall hat Onlime Webhosting schnellstmöglich gehandelt. Sämtliche Server wurden bereits am 5. Juni um 14:55 Uhr gepatched. Unsere Dienste sind also immun gegen CVE-2014-0224 und alle anderen heute angekündigten OpenSSL-Schwachstellen.

Als Kunde brauchen Sie nichts weiteres zu unternehmen. Diese Details dienen lediglich zur Info. Passwort-Änderungen sind in diesem Fall nicht notwendig.

Heartbleed ist eine Sicherheitslücke in OpenSSL, die Montagnacht (MEZ), den 7.4.2014, bekannt wurde. Mithilfe dieser weitverbreiteten Krypto-Software verschlüsseln geschätzte zwei Drittel aller Server den Datenverkehr im Internet. Über die Schwachstelle war es Angreifern theoretisch möglich, Daten bis hin zum privaten Schlüssel des Server-Zertifikats auszulesen und abzugreifen.

Auch bei Onlime Webhosting setzten und setzen wir OpenSSL zur Verschlüsselung ein. Wir möchten Sie heute detailliert informieren, welche Sicherheitsmassnahmen wir zu welchem Zeitpunkt vorgenommen haben. Dieser Einblick kommt etwas verspätet. Bitte entschuldigen Sie. Alle technischen Massnahmen unsererseits erfolgten jedoch natürlich ungleich fixer, darauf konnten Sie und können Sie sich stets verlassen.

• Von Heartbleed erfuhren wir Dienstagmorgen, den 8.4.2014, gegen 8:15 Uhr.
• Sobald ein Sicherheitspatch für unsere Systeme (Debian Linux) verfügbar war, packten wir sofort alle notwendigen Updates an. Um 12:15 Uhr war der Sicherheitsfix auf allen Servern erfolgreich installiert.
• Als zusätzliche Vorsichtsmassnahme forderten wir ein neues SSL-Zertifikat für Onlime (CN=*.onlime.ch) mit neuen Schlüsseln an. Alle Server wurden neugestartet und verwenden seit Mi, 9.4.2014 02:45 Uhr das neue Zertifikat. Das neue Zertifikat hat eine Gültigkeit bis 10.10.2016 und stammt von GeoTrust, Inc.
• Wir selbst änderten alle internen Passwörter auf all unseren Systemen.

Bis jetzt sehen wir keine Anzeichen, dass der Bug böswillig genutzt wurde. Wenn Sie alle Eventualitäten ausschliessen möchten, empfehlen wir Ihnen die Durchführung der folgenden beiden Massnahmen:

1. Ändern Sie sämtliche Passwörter via unser Controlpanel.
   Diese Option erreichen Sie unter Menüpunkt "Benutzerkonto", resp. direkt unterhalb der Mailkonten-Einstellungen, sofern Sie sich lediglich mit einem einzelnen Mailkonto anmelden.
2. Aktivieren Sie die 2-Faktor-Authentifizieung im Controlpanel.
   Dies ist nur für Ihr Webabo-Login möglich, nicht für einzelne E-Mail-Konten.

Da OpenSSL von sehr vielen Diensten eingesetzt wird, denken Sie bitte auch an andere wichtige Dienste wie Webmail, die Sie einsetzen. Überprüfen Sie zuerst beispielsweise über diesen Test, ob der Dienst bereits gegen Heartbleed abgesichert ist. Falls ja, überprüfen oder fragen Sie nach, ob auch das SSL-Zertifikat aktualisiert wurde. Bei grünem Licht ändern Sie dann Ihre Passwörter.

Mashable hat die bisherigen Stellungnahmen prominenter Dienste zusammengetragen und versucht daraus abzuleiten, wo überall eine Passwortänderung nötig ist. Das wäre demnach unter anderem bei Dropbox, Facebook, Google und LastPass und Tumblr nötig.

Vielen lieben Dank für die Aufmerksamkeit.

Wir blicken zurück auf ein 2013 voller Veränderungen - bescheiden gesagt: voller Verbesserungen. Ein Webhoster sollte sich nie mit seinen Diensten und der dahinter liegenden Infrastruktur zufrieden geben. Stets gibt es noch etwas herumzufeilen, zu perfektionieren. Sie als Kunde haben von all diesen Änderungen kaum etwas mitbekommen, da wir auch im 2013 unserem Versprechen der Verfügbarkeit von 99.9% mehr als gerecht wurden. Es kam zu sehr wenigen Ausfällen und wir haben uns bemüht, anfallende Wartungsarbeiten jeweils im Voraus zu kommunizieren.

Im ersten Quartal 2013 haben wir unsere gesamte Server-Infrastruktur neu durchdacht. Unser Hauptziel war es, die Ausfallsicherheit unserer Dienste markant zu erhöhen. Die Zahl unserer physischen Server wurde verdoppelt, zudem haben wir sämtliche Dienste (POP3/IMAP, MX, Spam-/Virenfilter, DNS, DB, SVN usw.) voneinander losgekoppelt und auf eigene Server-Instanzen ausgelagert. Dank modernen Virtualisierungstechnologien verbraucht unsere neue Serverinfrastruktur trotz Ausbau nur marginal mehr Strom. Bereits seit Mitte 2013 konnten unsere Kunden von der Aufsplittung der Dienste profitieren: Sämtliche Wartungsarbeiten der letzten Monate führten nur zu Kleinst-Ausfällen von einigen Sekunden bis wenigen Minuten.

Da Web- und Mail-Dienste unser Kerngeschäft darstellen und wir in diesem Bereich beste Performance bieten möchten, haben wir uns entschieden, zwei Server komplett mit "enterprise grade" SSDs und noch leistungsfähigerer Hardware auszustatten. Dies ergab einen Performance-Schub, von dem jeder Kunde profitiert.
Onlime Webhosting darf sich heute also "high-performance Webhoster" nennen.

Da wir diesen Weg auch in Zukunft gehen möchten, haben wir uns entschieden, kein Billigst-Hosting mehr anzubieten. Wir haben uns entschieden, das Produkt lime-mini per 1.1.2014 nicht mehr anzubieten. Sämtliche Kunden, welche noch über ein Abo lime-mini verfügen, können dieses bis Ende 2014 resp. bis Ende ihres Vertragsjahres zu denselben Konditionen weiterführen. Ein Upgrade auf lime-basic resp. lime-pro ist jederzeit möglich. An dieser Stelle haben wir auch gleich die Traffic-Limiten all unserer Abos verdoppelt.

Wir wünschen Ihnen eine besinnliche Weihnachtszeit und alles Gute fürs neue Jahr!

Wie in jedem Jahr unterstützt Onlime Webhosting zu Weihnachten Hilfsorganisationen und verzichtet auf Kundengeschenke im Bemühen, dort etwas Gutes zu tun, wo es nötig ist.

Unsere Spenden gehen auch dieses Jahr an die Afghanistanhilfe Schaffhausen, welche diverse Vor-Ort Projekte in Afghanistan realisiert, und an den von uns gehosteten Kunden Rokpa International. Rokpa unterstützt Menschen in Regionen, die von anderen Hilfswerken wenig beachtet werden.

In diesem Sinne: Frohe Weihnachten!