Technik

Hier möchten wir euch eine kurze Übersicht über ein paar technische Details unseres Dienstes geben.

Sicherheit

• Unverschlüsselte Client-to-Server Verbindungen sind nicht möglich.
• Unverschlüsselte Server-to-Server Verbindungen sind nicht möglich. Selbstsignierte Zertifikate, sind seit dem 29.10.2023 nicht mehr unterstüzt.
• Perfect Forward Secrecy ist konfiguriert.
• Es werden nur die Verschlüsselungsprotokolle TLSv1.2 und TLSv1.3 unterstützt
• Passwörter werden gehasht (SCRAM-SHA-1) gespeichert.
• Die DNS Einträge für 5222.de sind mit DNSSEC geschützt und können verifiziert werden.
• Zudem wird der Fingersprint des Zertifikat im DNS hinterlegt (TLSA) und ebenfalls mit DNSSEC geschützt.
• Die Zertifikate werden von Letsencrypt erstellt und sind mittels CAA DNS-Records auf unseren Accound: https://acme-v02.api.letsencrypt.org/acme/acct/9268354 gepint.

Whitelist für selfsign Zertifikate

• jabber.fh-aachen.de

TOR Hidden Service

Wir bieten einen Hidden Service für Client-to-Server Verbindungen an, der unter folgender Adresse erreichbar ist: fzdx522fvinbaqgwxdet45wryluchpplrkkzkry33um5tufkjd3wdaqd.onion

Hinweis: Für den http_upload muss eine „normale“ Internetverbindung parallel möglich sein, da dieser mit normalem DNS und klassischen Internetverbindungen arbeitet.

Hinweis: Wir bieten kein gültiges Zertifikat für die .onion Adresse an, weswegen euer Client einen Fehler bei der Validierung des Zertifikats anzeigen wird/kann. Dies ist aber auch nicht notwendig da der Zugriff via .onion schon ausreichend gesichert ist. Vertraut dem Zertifikat aber nicht blind, sondern versichert euch das es sich dabei auch um unseres handelt.

BOSH

Webclient könnt ihr über folgende HTTP-Bind-Adresse anbinden: https://5222.de/http-bind

Limitierungen

• http_upload File Größe: max. 100MB
• http_upload werden gelöscht nach: 30 Tagen
• Maximale Anzahl hochgelander Dateien: (unbegrenzt)
• Gesamt verfügbarer Uploadspeicher Dateien: 50G
• Zeit nach der archivierte Nachrichten gelöscht werden (MAM): 1 Woche
• Maximale Message History für MUC’s: 100 Nachrichten
• Inaktive Accounts werden nach 6 Monaten gelöscht
• Verlorene Passwörter von Accounts werden NICHT wiederhergestellt

Aktivierte XEPs

Unter anderem sind die folgenden XEPs aktiviert, damit der Dienst „State of the art“ ist und auch mit mobilen Clients wie Conversations optimal genutzt werden kann (Kompatibilitätsliste):

• XEP-0115: Entity Capabilities
• XEP-0163: Personal Eventing Protocol
• XEP-0045: Multi-User Chat – Chatrooms
• XEP-0237: Roster Versioning
• XEP-0198: Stream Management
• XEP-0280: Message Carbons
• XEP-0191: Blocking Command
• XEP-0352: Client State Indication
• XEP-0065: SOCKS5 Bytestreams (Proxy)
• XEP-0313: Message Archive Management
• XEP-0313: Message Archive Management (MUC)
• XEP-0363: HTTP File Upload
• XEP-0357: Push Notifications
• XEP-0368: SRV records for XMPP over TLS
• XEP-0153: vCard-Based Avatars
• XEP-0160: Best Practices for Handling Offline Messages
• XEP-0384: OMEMO Encryption
• XEP-0398: User Avatar to vCard-Based Avatars Conversion
• XEP-0411: Bookmarks Conversion

Hardware

Das Host System des vServers befindet sich bei comtrance Düsseldorf, Deutschland. Der vServer befindet sich in einem physisch geschützten Colocation Bereich und wird auf einem Hochverfügbarkeitscluster betrieben, basierend auf eigener Hardware der Firma caix. Somit können wir einen stabilen Betrieb gewährleisten und den physischen Zugriff durch Dritte ausschließen. Täglich werden Backups erstellt, welche ausschließlich zur Lösung eventueller technischer Probleme vorgehalten werden.