Aktuell tut sich in Sachen Sicherheit im Jabber/XMPP-Netzwerk einiges. Einer der (aus meiner Sicht) Urväter von XMPP, Peter Saint-Andre (aka stpeter) hat vor 3 Monaten das „manifesto “ ins Leben gerufen.
A Public Statement Regarding Ubiquitous Encryption on the XMPP Network
Ziel ist es das XMPP-Netzwerk im Ganzen etwas sicherer zu machen. Ein wichtiger Punkt dabei ist die saubere SSL-Konfiguration.
Nun musste ich feststellen, dass meine XMPP-Domains im IM Observatory Test verhältnismäßig schlecht abgeschnitten haben – ich habe selbst nie Wert auf „richtige“ Zertifikate gelegt, hatte für alle virtuellen Hosts ein und das selbe selbst-signierte Zertifikat in Benutzung und auch sonst eher eine rudimentäre SSL-Konfiguration für XMPP am Laufen.
Tim (betreibt die boese-ban.de & krautspace.de XMPP-Server) hatte auf Rückfrage meinerseits glücklicherweise schon eine ordentliche Config für Prosody zur Hand:
In der jeweiligen Konfigurationsdatei der virtuellen Hosts:
ssl = {
key = "/etc/prosody/certs/mydomain.tld.key";
certificate = "/etc/prosody/certs/mydomain.tld.crt";
options = { "no_sslv2", "no_ticket", "no_compression", "no_sslv3" };
ciphers = "HIGH:!DSS:!DES:!aNULL@STRENGTH";
}
Dazu noch global
c2s_require_encryption = true
in der prosody.cfg.lua und fertig ist das „Güteklasse A“ Siegel im IM-Observatory Test.
Es gibt im Zuge dieser Bestrebungen noch drei Testtage an denen XMPP-Server-Admins auch Server-zu-Server-Verbindungen nur noch verschlüsselt annehmen sollen:
prosody.cfg.lua um folgende Zeile ergänzen:s2s_require_encryption = true
(A) Module that informs users about the Security Test Days and which contacts it will affect.