TLS

maj 25 2016

Aktuella uppgraderingar av SSL och PHP

FS Data förbättras hela tiden På FS Data värnar vi om att erbjuda våra kunder så snabba, säkra och stabila tjänster som möjligt. Det är en ständigt pågående process, där en av de viktigaste delarna är att ständigt ligga i framkant av den tekniska utvecklingen.

Våra månadsvisa servicefönster är ett bra exempel på hur vi arbetar här.

Utöver våra servicefönster genomför vi även särskilda insatser för specifik mjuk- och hårdvara. Just nu arbetar vi extra med vissa uppgraderingar av SSL och PHP, som vi vill informera er om här.

– OpenSSL med TLS 1.2

Vi uppgraderar OpenSSL på samtliga Linux-baserade webbservrar. Detta berör främst kunder med SSL-certifikat installerade för sina hemsidor. Vi skiftar även till TLS 1.2, en bättre implementation av SSL som både är bakåtkompatibelt och framtidssäkrad.

Kunder med SSL-certifikat behöver inte göra något i samband med detta.

TLS 1.2 kommer att implementeras för samtliga SSL-baserade tjänster hos oss. Vi räknar inte med att våra kunder ska märka av uppgraderingen, men det kan eventuellt påverka användare med väldigt gamla SSL-klienter (webbläsare, e-postprogram osv). Det finns även en chans att tidigare utfärdade serversignaturer för SSH- och SFTP-anslutningar kan behöva uppdateras.

Men som sagt, vi gör allt för att uppgraderingen av OpenSSL och skiftet till TLS 1.2 ska gå obemärkt förbi.

– PHP 7.0 med komprimering

Vi har länge erbjudit ett brett utbud av olika PHP-versioner för våra webbhotellskunder. Som kund hos oss kan man välja mellan PHP 5.2, 5.3, 5.4, 5.5, 5.6 eller 7.0 för sin hemsida (via vår kontrollpanel). Samtliga versioner av PHP har ett frikostigt stöd för olika funktioner avseende t ex bild- och filhantering.

PHP 5-versionerna har även stöd för komprimering, vilket avsevärt snabbar upp våra kunders hemsidor. När vi införde PHP 7 i slutet av förra året så var den versionen alldeles ny och komprimeringsstödet var inte tillräckligt stabilt för vår servermiljö. Men vi har fortlöpande testat det och funnit att komprimeringen med PHP 7 nu även kan aktiveras.

Det är denna uppgradering som nu sker med PHP 7.

Vid uppgraderingen av PHP 7 så kan vissa databasanslutningar sluta fungera, om man har en hemsida eller hemsidelösning som använder en äldre databaskoppling. Om ni använder PHP 7 och märker att en databasanslutning slutar fungera, logga då in i vår kontrollpanel och byt till en PHP 5-version så kommer databasanslutningen att fungera igen.

Meddela sedan vår kundtjänst så byter vi databaskoppling manuellt. Därefter kan PHP 7 (med komprimering) användas igen.

Alla uppgraderingar sker som planerade arbeten med tydlig information publicerad på vår driftstatussida. Arbetet utförs givetvis även sen kväll/natt, när våra kunders hemsidor har så få besökare som möjligt.

Om ni har några frågor kring detta, lämna gärna en kommentar nedan eller kontakta vår kundtjänst.

apr 09 2014

Heartbleed, senaste SSL-buggen

Heartbleed SSL-bugg Det har nyligen uppdagats en ny och allvarlig bugg i programvaran OpenSSL, som används för säkra anslutningar mellan klient och server (via SSL/TLS). Buggen, med Security Advisory CVE-2014-0160, har fått namnet Heartbleed eftersom den berör minneshanteringen i heartbeat-funktionen för TLS.

Kunder med webbhotell eller dedikerad server med drifttjänst hos oss är inte påverkade av denna bugg.

Vi vill starkt rekommendera kunder med VPS, dedikerad server eller colocation-server att uppgradera sina Linux-servrar. Det räcker gott och väl att uppdatera sin server som vanligt (uppdatera källor, uppgradera programvaror och starta om servern).

På denna sida kan man kontrollera om en hemsida är påverkad av Heartbleed: http://filippo.io/Heartbleed/

Mer information om Heartbleed finns här: http://heartbleed.com/

mar 07 2014

Säkerhetshål i Linux: GnuTLS (SSL)

De senaste veckorna har ett allvarligt säkerhetshål i Apples operativsystem (iOS och Mac OS X) diskuterats flitigt ute på nätet. Säkerhetshålet berör säker/krypterad kommunikation och uppdateringar, som åtgärdar säkerhetshålet, är tillgängliga för Apple-användare (läs: uppdatera era mobiler/datorer om ni inte redan gjort det).

GnuTLS är trasigt Det är dock inte bara Apples operativsystem som drabbats av ett sådant här säkerhetshål. Ett liknande säkerhetshål har nyligen även upptäckts i Linux, eller i GnuTLS-biblioteket, som berör i princip alla Linux-distributioner (Debian, Ubuntu, Red Hat osv).

Säkerhetshålet är allvarligt då det under vissa omständigheter kan ge illasinnade möjlighet att avlyssna trafik till SSL/TLS-skyddade hemsidor (via en sk. man in the middle-attack). Det är inte bara är hemsidor som berörs, utan i princip alla tjänster med säker/krypterad kommunikation (e-post, databaser osv).

Om du kör en/flera maskiner (datorer/servrar) med Linux så vill vi uppmana till omedelbar uppdatering.

Säkerhetshålet i GnuTLS-biblioteket upptäcktes lite tidigare i veckan och våra tekniker uppdaterade alla våra Linux-baserade webbservrar (och servrar för kunder med drifttjänst) under vårt ordinarie servicefönster i tisdags. Våra webbhotellskunder (och serverkunder med drifttjänster) berörs inte av detta säkerhetshål.

Kunder som hanterar sina egna Linux-servrar hos oss bör dock omedelbart uppdatera dessa.

Denna artikel innehåller mer information: Critical crypto bug leaves Linux, hundreds of apps open to eavesdropping. Här är den officiella informationen från GnuTLS: GnuTLS, Security Advisories, GNUTLS-SA-2014-2.

jun 21 2012

Ett litet tips för säkrare e-post

Vad skulle ni säga om era vanliga brev skickades i genomskinliga kuvert? Visst vore det rätt så dumt? Ändå är det inte många som tänker på att vanlig e-post skickas i klartext mellan servrar och klienter.

Vill ni skicka e-post inom ert företag eller organisation, utan att utomstående ska kunna läsa detta? Då behöver ni använda TLS (Transport Layer Security, eller transportlagersäkerhet). Med TLS så krypteras och skyddas e-posten.

Det är i princip som när man surfar på en SSL-säkrad hemsida (t ex loggar in i sin Internetbank).

Aktivera säker e-postöverföring

Att aktivera TLS är enkelt. Det enda som behövs är att man bockar i alternativet ”TLS” eller ”SSL” i sitt e-postprogram. Detta brukar man kunna hantera under ”Avancerade inställningar” för e-postkonton i sitt e-postprogram.

Här är övriga uppgifter som behövs för att använda TLS hos oss:

Användarnamn: detta framgår i vår kontrollpanel, under ”E-post” > ”Konton”
Lösenord: detta väljer man i vår kontrollpanel, under ”E-post” > ”Konton”
Server för inkommande e-post: pop.fsdata.se (port 110) eller imap.fsdata.se (port 993)
Server för utgående e-post: smtp.fsdata.se (port 587)

Om ni vill ha ytterligare hjälp med detta, kontakta då gärna vår kundtjänst.

Ett annat bra sätt att skydda sin e-post från oönskad avlyssning, det är att välja en svensk e-postleverantör. E-post som hanteras inom Sverige berörs nämligen inte av utländska övervakningslagar (såsom SOPA, PIPA, Patriot Act osv) eller FRA-lagen. Faktum är att svenska säkerhetsexperter även rekommenderar detta.

FS Data har en av världens största och mest säkra och stabila e-postlösningar, som baseras på Microsoft Exchange Server. Våra e-posttjänster är väl tilltagna vad det gäller utrymme och fulla av funktionalitet såsom delade kalendrar, mobil e-post, webbmail osv. Läs gärna mer om våra e-posttjänster här.