Wer Redmine in seinem Unternehmen einsetzt um sensible Projekt- und Kundendaten damit zu verwalten, der kommt um den Einsatz eines SSL-Zertifikats nicht herum. Die Investition lohnt sich. Denn man setzt seine Daten in Redmine weniger Gefahr durch zunehmende Angriffe von außen aus. Und man zeigt seinen Kunden und Mitarbeitern, dass man den Schutz ihrer Daten Ernst nimmt.
Außerdem schreibt das IT-Sicherheitsgesetz vor allem für Betreiber von Webangeboten, Telekommunikationsunternehmen und kritischer Infrastrukturen erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme vor. Eine mögliche Maßnahme ist der Einsatz von SSL.
SSL steht für Secure Socket Layer. SSL-Zertifikate werden auf Webseiten installiert, die eine HTTPS-Verbindung anbieten (wie beispielsweise unsere Webseite, viele Shoppingseiten, Online-Banking Seiten, Webseiten von Behörden etc.). Das Zertifikat ist dafür zuständig, dass alle Daten, die der Browser des Anwenders zum Server überträgt verschlüsselt werden (insbesondere Zugangsdaten, Passwörter, PINs etc.). Dies verhindert das Abhören oder Überwachen durch unberechtigte Dritte.
Mach den SSL Server Test
Um zu prüfen ob Dein System bereits die entsprechenden Zertifikate besitzt und wie lange deren Laufzeit ist kann man den kostenfreien SSL Server Test von Qualys SSL Labs verwenden. Wenn alles passt, wird das Ergebnis in der Regel ein A+ ausgeben. Solltest Du schlechter abschneiden helfen wir gerne dabei ein gute Sicherheitswertung (A+) für Deine Systeme zu erreichen. Je besser das Rating, desto sicherer das System und die damit verwalteten Daten.
Wann braucht man ein SSL Zertifikat
Um eine verschlüsselte HTTPS-Verbindung zu Redmine aufzubauen muss ein SSL-Zertifikat für die jeweilige Domain im Webserver konfiguriert werden. Ob das Zertifikat von einer offiziellen Registrierungsstelle ist oder von einer eigenen erstellt wurde ist mehr oder weniger wichtig. Es gibt verschiedene Anbieter die SSL-Zertifikate mit verschieden langen Laufzeiten (z.B. 1 - 3 Jahre) anbieten. Man kann aber auch kostenlose SSL-Zertifikate (z.B. Let’s Encrypt) mit kürzeren Laufzeiten verwenden. Gerne sind wir hierbei behilflich. Denn bei der Wahl eines Anbieters von SSL-Zertifikaten gibt es ein paar Dinge zu beachten die auch von der gewünschten Anwendung abhängen. Nicht jedes SSL-Zertifikat und jeder Anbieter ist gleich sicher. Außerdem ist die Bestellung, Installation und Pflege von SSL für Anwender mit wenig Zeit oder dem notwendigen Wissen eine gewisse Herausforderung.
Was passiert, wenn das SSL-Zertifikat abgelaufen ist
Man sollte sich rechtzeitig um ein neues kümmern. Denn ein abgelaufenes SSL-Zertifikat bietet keinen weiteren Schutz der Daten mehr an. Unberechtigte Dritte können solche Daten jederzeit belauschen. Da es Dienstanbieter wie den oben genannten SSL Server Test gibt, ist es auch externen Angreifern möglich heraus zu finden wann ein Zertifikat ausläuft und wann ein guter Zeitpunkt für einen Datenabhörangriff wäre. Da mittlerweile alle neuen Webbrowser solche Seiten sogar blockieren und dem Anwender einen Hinweis: “Dieser Verbindung wird nicht vertraut.” ausgeben, muss man immer ein Auge auf die Laufzeit haben. Wir bieten unseren Kunden hierfür beispielsweise auch unseren Server Monitoring Dienst an. Der unter anderem die Laufzeit von SSL-Zertifikaten abfragt und rechtzeitig darauf hinweist wann dies zu erneuern ist. Kunden, deren Server oder Systeme von uns betreut werden, müssen sich diesbezüglich keine Gedanken machen.
SSL-Zertifikate sinnvoll verwalten
Wer für seine verschiedenen Systeme, Shopanwendungen und Webseiten mehrere SSL-Zertifikate zu verwalten hat, weiß wie schnell man hier den Überblick verlieren kann. Vor allem was die Laufzeit angeht. Sollte zufällig bereits Redmine zum Einsatz kommen dann macht es Sinn sich Gedanken über ein Tool wie das Redmine DB Plugin zu machen. Das Plugin ist für solche Zwecke einsetzbar und ersetzt externe Exceltabellen. Mit ihm behält man auch alle ablaufenden Zertifikate im Blick und kann sich entsprechende Übersichten dazu erstellen. Man sieht wo Zertifikate installiert wurden und wann diese zu erneuern sind.
Wann ist der richtige Zeitpunkt für ein SSL Zertifikat?
Wenn man noch nicht von http auf https (oder FTP auf FTPS) gewechselt ist, dann ist jetzt der richtige Zeitpunkt dafür die entsprechende Webanwendung sicherer zu machen. Eine 100% Sicherheit wird damit nicht gewährleistet. Dennoch ist dies ein wichtiger Schritt in die Richtung.
