Für den Admin: Sicherer Mobiler Zugriff auf E-Mail-Archive durch TLS-Verschlüsselung

Mehr denn je stehen Administratoren auch in kleinen und mittelständischen Betrieben vor der Herausforderung, ihren Nutzern zu jeder Zeit und von überall Zugriff auf Dienste und Daten zu geben. Während dazu, trotz aller damit einhergehender Komplexität, früher oft VPNs das Mittel der Wahl waren, hat sich dies durch den Siegeszug von Smartphones und dem damit entstandenen Trend „Bring Your Own Device“ (BYOD) zu einer weitaus komplexeren Aufgabe für Administratoren entwickelt. Zugleich bieten heute immer mehr Lösungen einen adäquaten Web-basierten Zugang an, welcher zugleich den Vorteil von Plattformunabhängigkeit auf Client-Seite als auch geringere Anforderungen an das Bereitstellen durch den Administrator mit sich bringt.

Sicherer und benutzerfreundlicher Web-basierter Zugang

Damit ein Web-basierter Zugang sowohl sicher als auch benutzerfreundlich ist, sind primär zwei Punkte zu beachten:

1. Der Zugriff darf ausschließlich verschlüsselt erfolgen
2. Die Clients bzw. Webbrowser müssen den eingesetzten Zertifikaten vertrauen

Aktuelle Webbrowser kennzeichnen mittlerweile Webseiten als unsicher, sobald diese Passwörter oder Kreditkartendaten unverschlüsselt übertragen. Es ist davon auszugehen, dass sich diese Kennzeichnung in Zukunft auf alle unverschlüsselten Webseiten ausweiten wird, um die übermittelten Daten jederzeit von den neugierigen Blicken Dritter zu schützen. Gerade in öffentlichen Funknetzwerken stellt die unverschlüsselte Datenübertragung ein enormes Risiko dar, dem nur mit Server-seitig erzwungener Verschlüsselung entgegengewirkt werden kann.

Zertifikate für TLS-Verschlüsselung

Deshalb sollten sich Administratoren jetzt dem Thema TLS-Verschlüsselung widmen und ihre Dienste entsprechend mit Zertifikaten absichern. Da selbstsignierten Zertifikaten, wie sie häufig während der Installation erzeugt werden, oder Zertifikaten einer internen Zertifizierungsstelle, nicht ohne Weiteres vertraut wird, sollte man von deren Einsatz im Produktivbetrieb absehen. Stattdessen ist es ratsam, Zertifikate von offiziellen Zertifizierungsstellen, sogenannten Certificate Authorities (CA), unterschrieben zu lassen. Derart unterschriebenen Zertifikaten wird aufgrund hinterlegter Informationen in Browsern und Betriebssystemen automatisch vertraut.

Das allgemeine Vorgehen ist dabei grundsätzlich unabhängig von den eingesetzten Diensten und stellt sich wie folgt dar:

1. Es wird ein privater und ein öffentlicher Schlüssel generiert. Dann wird eine Signierungsanfrage (Certificate Signing Request, kurz. CSR) erstellt, welche die Details des zu beantragenden Zertifikats enthält. Der öffentliche Schlüssel ist Teil des CSR.
2. Den CSR übermittelt man anschließend an die Zertifizierungsstelle (CA). Dies geschieht in der Regel über die Webseiten der CAs.
3. Diese generiert dann ihrerseits, ggf. nach Validierung durch zusätzliche Dokumente oder Telefonanrufe, das Zertifikat aus dem CSR, signiert es und man erhält das signierte Zertifikat zurück.

Das von der CA unterschriebene Zertifikat kann man nun einem oder bei Bedarf mehreren Diensten zur Verfügung stellen. Die Einbindung ist dabei produktspezifisch.

Wildcard-Zertifikate für Domains

Neben individuellen Zertifikaten pro Dienst oder Server existieren noch sogenannte Wildcard-Zertifikate für ganze Domänen, die dann für die Domäne selber (z.B. example.com) und alle darunter existierenden Hostnamen (*.example.com) gültig sind. Diese sind vor allem dann vorteilhaft, wenn ein Admin eine Vielzahl von Diensten unter verschiedenen Hostnamen absichern möchte. Einziger Nachteil: Sollte einer der Server mit einem Wildcard-Zertifikat kompromittiert werden, muss das Wildcard-Zertifikat zurückgezogen und auf allen Servern ausgetauscht werden. Beim Einsatz von individuellen Zertifikaten ist dies nur für den betroffenen Server notwendig.

MailStore setzt auf verschlüsselte Kommunikation

Mit Version 10.2 von MailStore Server und der MailStore Service Provider Edition haben wir begonnen, die von unseren Produkten bereitgestellten Dienste sukzessive umzustellen und in Zukunft ausschließlich verschlüsselte Kommunikation zu ermöglichen. So steht beispielsweise der neue responsive Web Access nur über eine verschlüsselte HTTPS-Verbindung zur Verfügung. MailStore Server Benutzer bekommen zudem beim Versuch unverschlüsselt per HTTP darauf zuzugreifen einen entsprechenden Hinweis. In der Service Provider Edition stand ein unverschlüsselter Zugriff bereits in der Vergangenheit nicht zur Verfügung.

Wie man das in beiden Produkten während der Installation erstellte selbstsignierte Zertifikat gegen ein eigenes, vertrauenswürdiges austauscht, wird in den entsprechenden Artikeln für MailStore Server (https://help.mailstore.com/de/server/Verwendung_eigener_SSL_Zertifikate) und MailStore Service Provider Edition (https://help.mailstore.com/en/spe/Replace_Self-signed_SSL_Certificates & https://help.mailstore.com/en/spe/Working_with_SSL_Certificates).