Aktuelle Best Practices für den Einsatz von SSL/TLS

RC4 deaktivieren, Forward Secrecy einrichten

| Autor / Redakteur: Ivan Ristic, Leiter SSL Labs bei Qualys / Stephan Augsten

Server-Betreiber und Webanwendungsentwickler sollten möglichst schnell bei SSL/TLS nacharbeiten.
Server-Betreiber und Webanwendungsentwickler sollten möglichst schnell bei SSL/TLS nacharbeiten. (Bild: © Scanrail - Fotolia)

Verschlüsselte Verbindungen mittels SSL/TLS lassen sich einfach umsetzen – die eigentliche Schwierigkeit liegt in der korrekten Implementierung. Um sicherzustellen, dass SSL die nötige Sicherheit bietet, muss man zusätzliche Arbeit in die Konfiguration der Server investieren. Die aktuellen Best Practices von Qualys helfen dabei.

Ivan Ristic: „Hinsichtlich der Sicherheit von SSL/TLS haben wir im Jahr 2013 drei wichtige Entwicklungen beobachtet.“
Ivan Ristic: „Hinsichtlich der Sicherheit von SSL/TLS haben wir im Jahr 2013 drei wichtige Entwicklungen beobachtet.“ (Bild: Qualys)

Qualys hat die Best Practices für den Einsatz von SSL/TLS aktualisiert. Der umfassende Leitfaden für den Betrieb sicherer Server erfährt somit das dritte Update seit der ersten Veröffentlichung im Februar 2012.

Mit klaren und präzisen Anweisungen unterstützt der Leitfaden überlastete Administratoren und Programmierer dabei, sichere Webseiten und Webanwendungen bereitzustellen. Der Verständlichkeit geschuldet verzichtet Qualys dabei bewusst auf Themen für Fortgeschrittene.

Zielsetzung ist es, die neuesten Server-Bedrohungen stets im Blick zu behalten und mögliche Gegenmaßnahmen zu erläutern. Seit Jahresbeginn hat Qualys hinsichtlich der Sicherheit von SSL/TLS drei wichtige Entwicklungen beobachtet, die sich in den Best Practices wiederspiegeln.

RC4 möglichst deaktivieren

Im März hat eine Gruppe von Sicherheitsforschern demonstriert, dass RC4 erhebliche Schwächen aufweist. Wenngleich ein Angriff derzeit noch wenig praktikabel ist, raten wir schon jetzt, mit dem Ausstieg aus diesem Verschlüsselungsverfahren zu beginnen. In den früheren Versionen des Leitfadens hatten wir empfohlen, RC4 zur serverseitigen Entschärfung des BEAST-Angriffs einzusetzen.

Das ist nun definitiv nicht mehr möglich. Wir glauben zwar, dass BEAST in einigen Umgebungen immer noch eine Bedrohung darstellen kann, doch da die globale Deaktivierung von RC4 lange dauern wird, sind wir der Ansicht, dass wir mit diesem Prozess sofort beginnen müssen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42365530 / Server)