Fehler in der Konfiguration machen das beste SSL-Zertifikat nutzlos

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Die EU-Datenschutz-Grundverordnung ist beschlossene Sache und viele Unternehmen gehen dieser Tage das Thema Website-Verschlüsselung an. Dabei haben sie die Qual der Wahl: Um die Kommunikation zu schützen, eignen sich Extended-Validation-Zertifikate zwar am besten, um das Vertrauen von Website-Besuchern in die Identität einer Site zu erhöhen. Wer jedoch keinen Webshop betreibt und beispielsweise nur ein Kontaktformular, eine Newsletter-Anmeldung oder einen Login-Bereich für die Auftragsabwicklung bereitstellt, ist bereits mit organisationsvalidierten SSL/TLS-Zertifikaten auf der sicheren Seite.
Christian Heutger, PSW Group.

Die EU-Datenschutz-Grundverordnung ist beschlossene Sache und viele Unternehmen gehen dieser Tage das Thema Website-Verschlüsselung an. Dabei haben sie die Qual der Wahl: Um die Kommunikation zu schützen, eignen sich Extended-Validation-Zertifikate zwar am besten, um das Vertrauen von Website-Besuchern in die Identität einer Site zu erhöhen. Wer jedoch keinen Webshop betreibt und beispielsweise nur ein Kontaktformular, eine Newsletter-Anmeldung oder einen Login-Bereich für die Auftragsabwicklung bereitstellt, ist bereits mit organisationsvalidierten SSL/TLS-Zertifikaten auf der sicheren Seite.

„Konfigurationsfehler in den Verschlüsselungsprotokollen oder bei den Cookie-Einstellungen rächen sich jedoch schnell mit langen Ladezeiten, zeitweiser Unerreichbarkeit der Website und einem SSL-Server-Test, wie er von Qualys SSL Labs bereitgestellt wird, der Mutmaßungen über die Sicherheit der Website zulässt“, warnt Christian Heutger, Geschäftsführer der PSW Group (im Bild).

So verweist der IT-Sicherheitsexperte darauf, zwingend SSL in der Version 3 zu deaktivieren und stattdessen TLS in den Versionen 1.0, 1.1 sowie 1.2 zu nutzen. „Die Unsicherheit der Verschlüsselungsprotokolle SSLv3 und RC4 ist schon lange bekannt und an Alternativen mangelt es nicht. Im Oktober 2015 entschied sich beispielsweise der Suchmaschinenriese Google dazu, sich von diesen unsicheren Standards zu verabschieden“, erläutert Heutger. Kurzum: Die Verwendung der neuesten TLS-Versionen schließt niemanden aus, jedoch werden potenzielle Angreifer eingeschlossen, wenn das unsichere SSL verwendet wird.

PFS gewährleistet, dass Daten auch im Nachhinein nicht entschlüsselbar werden

In diesem Zusammenhang rät der deutsche Internet Security-Spezialist Website-Betreibern bei der Datenverschlüsselung konsequent auf eine Kombination aus dem Advanced Encryption Standard (AES) im CBC-Modus und dem Perfect Forward Secrecy (PFS) zu setzen. Die AES-Betriebsart Cypher Block Chaining (CBC) bezeichnet ein kompliziertes Verfahren, bei dem die einzelnen Klartextblöcke zunächst mit dem im letzten Schritt erzeugten Geheimtextblock verknüpft und erst anschließend mit dem AES-Schlüssel verschlüsselt werden. Auf diese Weise können keine Rückschlüsse auf die Klartexte gezogen werden, was eine extrem hohe Sicherheit garantiert. Dank dem Einsatz von PFS ist gewährleistet, dass Daten auch im Nachhinein nicht entschlüsselbar werden.

Konfigurationsfehler bei Cookie-Einstellungen

Konfigurationsfehler können auch bei den Cookie-Einstellungen auftreten: Wer keine Secure-Flags setzt, öffnet Man-in-the-Middle-Attacken Tür und Tor. Mit Secure-Flags legen Website-Betreiber fest, ob Cookies über sichere HTTPS- oder auch über unsichere HTTP-Verbindungen übertragen werden. Was passieren kann, wenn Website-Betreiber keine Secure-Flags setzen, erklärt Christian Heutger: „Angenommen, ein Besucher ruft die Site via HTTPS auf, dann macht sich der Cookie sofort an seine Arbeit, trackt also den Besucher. Später kommt der Website-Besucher zurück, diesmal ruft er die Site jedoch via HTTP auf. Der Cookie wird immer noch an die Webanwendung gesendet. Ein Angreifer jedoch kann den Cookie nun ausspähen, sich als Anwender ausgeben und frei agieren.“

Problem, verschlüsselte Websites über das unsichere HTTP anzusteuern

Dem grundsätzlichen Problem, verschlüsselte Websites über das unsichere HTTP anzusteuern, beugt HSTS vor. Mit einem aktivierten HSTS-Zusatz geben (HTTP-)Server vor, eine verschlüsselte Verbindung zu nutzen. Anwendungsprogramme werden durch den Standard dazu gezwungen, ausschließlich verschlüsselt mit der Website zu kommunizieren. „Um sicherzugehen, dass unverschlüsselte Verbindungen ausgeschlossen werden, sollten Betreiber zwingend auf HSTS setzen. Zwei Wege führen dahin: Entweder durch Ergänzung des HSTS-Headers, um Browser anzuweisen, nur noch die HTTPS-Version aufzurufen. Oder die Website wird auf die HSTS Preload-Liste gesetzt. Diese sagt modernen Browsern, dass sie HTTP-Aufrufe automatisch auf HTTPS umleiten“, rät Heutger.

Weitere Informationen finden Sie hier

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

avatar
  Abonnieren  
Benachrichtige mich bei

Andere Leser haben sich auch für die folgenden Artikel interessiert

Mercateo hat seine neue B2B-Vernetzungsplattform Mercateo Unite vorgestellt. „Wenn eine elektronische Plattform es schafft, Geschäftspartner schnell und sicher zusammenzuführen und dabei sowohl Vielfalt und Innovationen als auch schlanke Arbeitsprozesse ermöglicht, leistet sie einen wichtigen Beitrag zur Digitalisierung der Wirtschaft“, ist Dr. Silvius Grobosch, Mitglied des geschäftsführenden Bundesvorstandes des Bundesverbandes Materialwirtschaft, Einkauf und Logistik e.V. (BME), überzeugt.

Werbung

Top Jobs

Keine Top-Jobs gefunden
Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Werbung
Werbung

Aktuelle Ausgabe

Topthema: Fight Club Logistik

KI in der Logistik

Mehr erfahren

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.