Wie kann man in OpenSSL unter Windows den Legacy-Modus aktivieren?
- Einleitung
- Warum ist der Legacy-Modus in OpenSSL notwendig?
- Voraussetzungen unter Windows
- Aktivierung des Legacy-Modus in OpenSSL unter Windows
- Besondere Hinweise zur Verwendung
- Fazit
Einleitung
OpenSSL ist eine weit verbreitete Open-Source-Softwarebibliothek zur Implementierung von kryptografischen Funktionen und Protokollen. In neueren Versionen von OpenSSL wurden viele ältere, als unsicher eingestufte Algorithmen und Befehle standardmäßig deaktiviert. Um dennoch auf diese zuzugreifen, zum Beispiel für Kompatibilitätszwecke, kann der sogenannte Legacy-Modus aktiviert werden. In diesem Artikel wird erklärt, wie man diesen Modus speziell unter Windows aktiviert.
Warum ist der Legacy-Modus in OpenSSL notwendig?
Der Legacy-Modus in OpenSSL ermöglicht die Nutzung älterer kryptografischer Algorithmen, die heutzutage oft aus Sicherheitsgründen nicht mehr standardmäßig zugelassen sind. Viele Anwender oder Anwendungen sind jedoch auf diese Algorithmen angewiesen, etwa wenn Zertifikate oder Schlüssel mit älteren Standards erstellt wurden. Ohne Aktivierung des Legacy-Modus schlagen manche OpenSSL-Befehle fehl oder verweigern die Verwendung bestimmter Algorithmen.
Voraussetzungen unter Windows
Um den Legacy-Modus unter Windows zu aktivieren, benötigt man eine aktuelle OpenSSL-Version, vorzugsweise ab OpenSSL 3.0, da erst hier die konsequente Trennung in verschiedene "Provider" eingeführt wurde. OpenSSL ist für Windows meist als vorgefertigtes Paket erhältlich. Es empfiehlt sich, die offizielle Webseite oder vertrauenswürdige Anbieter wie SLProWeb zu verwenden, um eine aktuelle Version zu installieren.
Aktivierung des Legacy-Modus in OpenSSL unter Windows
In OpenSSL ab Version 3.0 wurden neue Konfigurationsmechanismen eingeführt. Statt die Konfiguration ausschließlich über Umgebungsvariablen oder Kommandozeilenargumente zu steuern, arbeitet OpenSSL mit einem modularen Provider-System. Der wichtigste Schritt zur Aktivierung des Legacy-Modus besteht darin, den Legacy-Provider zu laden und zu verwenden.
Zum einen kann man über die OpenSSL-Konfigurationsdatei, meist `openssl.cnf`, den Legacy-Provider einbinden. Diese Datei befindet sich in der Installation oder kann manuell angelegt werden. Ein typischer Ausschnitt sieht so aus:
Durch diese Einträge wird beim Start von OpenSSL der Legacy-Provider geladen und zur Verfügung gestellt.
Alternativ ist auch eine direkte Aktivierung über die Kommandozeile bei jeder Nutzung möglich, indem beim Aufruf von OpenSSL die Option `-provider legacy` angegeben wird. Zum Beispiel:
Dadurch wird der Legacy-Provider temporär für diese Sitzung aktiviert, ohne die Konfigurationsdatei dauerhaft zu ändern.
Besondere Hinweise zur Verwendung
Nach dem Aktivieren des Legacy-Modus können alte Algorithmen wie MD5, DES, oder RSA mit unsicheren Parametern wieder genutzt werden. Dabei sollte man jedoch Vorsicht walten lassen, da die Verwendung veralteter Algorithmen Sicherheitsrisiken birgt.
Darüber hinaus sollte man prüfen, ob der Legacy-Provider in der verwendeten OpenSSL-Version tatsächlich vorhanden ist, da manche Builds oder Distributionen diesen nicht enthalten. Ein einfacher Test ist das Ausführen von `openssl provider -all`, welches alle verfügbaren Provider anzeigt.
Fazit
Die Aktivierung des Legacy-Modus in OpenSSL unter Windows ist ab Version 3.0 möglich und oft notwendig, um ältere kryptografische Verfahren nutzen zu können. Dies geschieht entweder über die OpenSSL-Konfigurationsdatei oder durch Angabe des Legacy-Providers beim Kommandozeilenaufruf. Anwender sollten sich jedoch bewusst sein, dass dadurch unsichere Algorithmen wieder aktiviert werden und entsprechend verantwortungsvoll damit umgehen.