XMPP-Verschlüsselung endlich ernst nehmen

XMPP Server sind eine sichere, dezentrale und datenschutzfreundliche Alternative zum enorm verbreiteten Messagenger WhatsApp. Diese und ähnliche Worte hört man immer wieder, an ihnen ist auch nichts in der Regel nichts falsch. Allerdings hat sich ein unangenehmes Verhalten bei XMPP Servern etabliert, welches Thomas Leister mit treffenen Worten kommentiert hat.

Meiner Meinung nach ist es an der Zeit, “Ernst zu machen”, und seriöse Transportverschlüsselung einzuführen. Verpflichtend. Für alle. Ohne Ausnahmen – ohne wenn und aber.

Leider ist bei einem Großteil aller XMPP Server die Transportverschlüsselung nicht optimal konfiguriert. Nicht jeder Server setzt vertrauenswürdige SSL/TLS Zertifikate ein, was dazu führt, dass diese häufig von anderen Servern nicht validiert werden. Hiermit ist eine möglichst hohe Anzahl an Servern erreichbar. Ich muss gestehen, dass ich es mit meinem verhältnismäßig kleinem XMPP Server pimux.de ebenfalls diesen Fehler gemacht habe, da ansonsten ein knappes Dutzend Server nicht mehr von pimux.de erreichbar wäre. Zwar hatte ich die Verschlüsselung für Client- und Server-Verbindungen vorausgesetzt, bei der Validierung habe ich aber noch ein Auge zugedrückt.

Ich habe mir aber Thomas Leisters Aufforderung zu Herzen genommen und werde ebenfalls ab jetzt Zertifikate korrekt validieren. Je mehr Server dies tun, desto eher werden die abgehängten Server vertrauenswürdige Zertifikate einsetzen. Das hoffe ich jedenfalls.

3 Gedanken zu „XMPP-Verschlüsselung endlich ernst nehmen

  1. Hallo Finn,

    schön, dass du meinem Aufruf gefolgt bist! Ich hoffe auch, dass sich die Situation verbessert. Leider muss irgendwer damit anfangen, härtere Regeln durchzusetzen. Das ist nicht immer angenehm, weil man derzeit noch bestimmte Server ausgrenzt. Aber wie du schon sagst: Je mehr Server strikte Regeln einhalten, desto mehr werden auch die anderen nachziehen. Einige Admins habe ich schon angeschrieben, sodass sie Fehler beheben oder korrekte Zertifikate nachrüsten. Bisher gab es überwiegend positive Rückmeldung und einige Betreiber haben ihre Konfiguration schon verbessert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.