Vor kurzem wurden einige Verbesserungen umgesetzt, um die Sicherheit der Kimai-Cloud weiter zu erhöhen. Dieser Blog-Beitrag ist kurz und enthält ausschließlich technische Informationen. Wir wollen diese mit teilen, um unsere Nutzer darüber zu informieren welche Schritte wir zum Schutz Ihrer Daten unternehmen.
Unterstützte TLS-Versionen
Die Unterstützung für die [veralteten TLS-Versionen 1.0 und 1.1] (https://blog.qualys.com/ssllabs/2018/11/19/grade-change-for-tls-1-0-and-tls-1-1-protocols) wurde in unserem Webserver-Setup entfernt. Von nun an sind nur noch TLS 1.2 und TLS 1.3 Verbindungen erlaubt.
Während dieser Änderung haben wir die erlaubten Cipher-Suites bereinigt und um die neuesten Standards erweitert.
DNSSEC
DNSSEC wurde in unseren Nameservern aktiviert.
Die Domain Name System Security Extensions (DNSSEC) sind eine Reihe von Internetstandards, die das Domain Name System (DNS) um Sicherheitsmechanismen zur Gewährleistung der Authentizität und Integrität der Daten erweitern. Ein DNS-Teilnehmer kann damit verifizieren, dass die erhaltenen DNS-Zonendaten auch tatsächlich identisch sind mit denen, die der Ersteller der Zone autorisiert hat. Es sichert die Übertragung von Resource Records durch digitale Signaturen ab. (von Wikipedia)
Strict-Transport-Security
Während dies bereits für alle Cloud-Sites aktiv war, haben wir es durch die Verwendung der strengsten Version via `Strict-Transport-Security' 'max-age=31536000; includeSubDomains; preload' auf der Hauptdomain weiter abgehärtet. Wir haben uns außerdem um die Aufnahme in die offiziellen Browser [HSTS-Vorlade-Liste] (https://hstspreload.org) beworben.
Dieser HSTS-Header weist Ihren Browser an, nur HTTPS zu verwenden, wenn er sich mit der Kimai-Cloud verbindet (keine Cloud war jemals über http verfügbar).
CAA-DNS-Eintrag
Wir verwenden Letsencrypt-Zertifikate, um die SSL-Verbindung zwischen Ihrem Browser und unseren Servern zu sichern.
Um sicherzustellen, dass keine andere Zertifizierungsstelle ein Zertifikat für die Kimai-Cloud ausstellt, haben wir einen DNS-Eintrag hinzugefügt der darüber informiert, dass wir ausschließlich Letsencrypt verwenden. Dieser Eintrag wird von allen rechtmäßigen Zertifizierungsstellen akzeptiert und soll verhindern, dass jemand anderes ein Zertifikat für unsere Domains ausstellt.
DNS Certification Authority Authorization (CAA) verwendet das Domain Name System, um dem Besitzer einer Domain die Möglichkeit zu bieten, gewisse Zertifizierungsstellen (CAs) dazu zu berechtigen, ein Zertifikat für die betroffene Domain auszustellen. CAA Records sollen verhindern, dass Zertifikate fälschlicherweise für eine Domain ausgestellt werden. (von Wikipedia)