:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Transportverschlüsselung Teil 2 Webmaster in der HTTPS-Pflicht
Als ob die DSGVO alleine vielen Administratoren nicht schon genug schlaflose Nächte verursacht hätte, möchte Google unter Androhung eigener Sanktionen das Internet zwangsweise auf HTTPS umstellen. IT-Verantwortliche geraten einmal wieder in Zugzwang, wenn sie nicht riskieren wollen durch Google abgestraft zu werden und dadurch wertvollen Traffic aus Deutschlands meistgenutzter Websuche zu verlieren.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Jede zweite Webseite nutzt immer noch HTTP und könnte im Juni oder Juli aus dem Netz verschwinden. Googles Browser Chrome soll in der kommenden Version 68 seinen Nutzern den Zugriff auf unverschlüsselte Webseiten verweigern. Webmaster müssen sich darauf gefasst machen, dass ihre Besucherströme plötzlich dahinschwinden, wenn sie bis dahin unverschlüsseltes HTTP immer noch nicht abgeschafft haben sollten. Auch die Nutzer anderer Browser werden im Endeffekt wegbleiben: durch den Verlust des SEO-Rankings betreffender Domains rutschen diese im Laufe der Zeit zwangsweise in den Abgrund totaler Irrelevanz. Hinzu kommt ja auch noch die DSGVO. Der Einsatz von HTTPS ist zwar in der DSVGO 2018 formal nicht verankert, wird aber indirekt vorausgesetzt. Denn ohne eine robuste Transportverschlüsselung ist der Schutz personenbezogener Daten auf dem Weg übers Internet nicht möglich.
Die .tld-Domainerweiterung .app, die Google als Registrar exklusiv anbietet, setzt auch schon bereits zwingend HTTPS voraus. Ohne HTTPS geht da rein gar nichts. Zu den größten Hindernissen auf dem Weg zur HTTPS-Verschlüsselung zählen die Anschaffung und die Einrichtung von SSL-Zertifikaten, die Bereitstellung zusätzlicher Server-Leistung (insbesondere beim Einsatz von HTTPS mit HTTP 1.1) und nicht zuletzt die Umsetzung der erforderlichen (besser gesagt: umständlichen) Konfiguration.
:quality(80)/images.vogel.de/vogelonline/bdb/1394900/1394971/original.jpg "Diskrepanz: Satte 92 Prozent aller in Deutschland genutzten Webbrowser verstehen sich auf HTTP/2; ihre Nutzer könnten vom Performancesprung mit HTTP/2 profitieren. Das einzige Problem: Laut Angaben von w3techs bietet derzeit nur 25,7 Prozent der Websites Unterstützung für das neue Protokoll.")
:quality(80)/images.vogel.de/vogelonline/bdb/1394900/1394972/original.jpg "Automatisierte Herausgabe von SSL-Zertifikaten: Der Online-Assistent liefert Anweisungen zur Nutzung von Certbot für Letsencrypt.")
:quality(80)/images.vogel.de/vogelonline/bdb/1394900/1394973/original.jpg "Zeit gespart: Features wie das Multiplexing-Verfahren in HTTP-2 reduzieren die Latenz bei der Bereitstellung moderner Webseiten mit und ohne HTTPS.")
Viele Unternehmen, die bereits HTTPS einsetzen, müssen ihre TLS-Konfiguration gründlich überdenken, und sei es „nur“ im Interesse der Aufrechterhaltung ihrer Sicherheitszertifizierungen. Die PCI DSS-Konformität erfordert das Deaktivieren der Unterstützung für SSL und TLS vor der Version 1.1 spätestens bis zum 30 Juni 2018. Bei PCI DSS, kurz für PCI Data Security Standard, handelt es sich um einen internationaler Standard für die Sicherheit von Zahlungstransaktionen. Cybersicherheitsexperten halten den Einsatz von TLS 1.1 im Übrigen mittlerweile für unverantwortlich, wie schon im ersten Teil unserer Serie zur Transportverschlüsselung „TLS 1.3 - Viel heiße Luft oder ein großer Wurf?“ zu lesen war.
:quality(80)/images.vogel.de/vogelonline/bdb/1393800/1393872/original.jpg "Die Version 1.3 des TLS-Protokolls schneidet nicht nur alte Zöpfe ab und führt lange überfällige Neuerungen ein, sondern zeigt eine Menge an gesundem Menschenverstand. (vector_master - stock.adobe.com)")
Transportverschlüsselung Teil 1
TLS 1.3 - Viel heiße Luft oder ein großer Wurf?
Automatisiert, zertifiziert, verschlüsselt
Mitunter den wichtigsten Kostenpunkt des Wechsels auf HTTPS stellt die Bereitstellung geeigneter SSL-Zertifikate dar. Renommierte Zertifizierungsstellen der „alten Schule“ lassen sich ihre Dienste am liebsten gleich vergolden. Wer mehrere Domains, mehrere Server-Instanzen, mehrere Subdomains und mehrere IPs ausstatten möchte, wird typischerweise zu jedem erdenklichen Anlass erneut zur Kasse gebeten. Abhilfe kann Let's Encrypt schaffen.
Bei Let's Encrypt handelt es sich um eine globale Zertifikatsbehörde einer gemeinnützigen Organisation namens Internet Security Research Group (ISRG) und einen der Projekte der Linux Foundation. Die Let's-Encrypt-Plattform wurde für die Ära automatisierbarer Cybersicherheit konzipiert. Alle Zugriffe erfolgen via API und sind somit leicht automatisierbar. Die Zertifikate gelten jeweils nur 90 Tage (statt wie sonst üblich für mindestens ein Jahr); sie haben sich als robust und zuverlässig erweisen. Dank Let's Encrypt lässt sich die Umstellung eines Webservers auf HTTPS so in der Regel kostenneutral implementieren; die Verlängerung von Zertifikaten lässt sich auf den unterstützten Plattformen (Unices wie Linux, OpenBSD und macOS) mit einem CLI-Tool namens Certbot automatisieren. Derzeit bietet Let's Encrypt nur Zertifikate vom Typ Domain Validation an, weil sich derzeit nur solche zuverlässig automatisieren lassen; bei Organization Validation (OV) und Extended Validation (EV) ist in absehbarer Zukunft Fehlanzeige.
Mit einem Let's-Encrypt-Zertifikat lassen sich bis zu insgesamt 100 SAN-Namen (also explizit genannte Domains und/oder Subdomains) abdecken, und für jede Domain bis zu 20 Zertifikate pro Woche ausstellen. Wer auf einem Wildcard-Zertifikat besteht, um alle Subdomains einer Domäne abzudecken, kann ein solches via ACMEv2 unter Verwendung von DNS-01 anfordern.
Um die benötigten SSL-Zertifikate von Let's Encrypt anfordern zu können gilt es, die betreffenden IP-Adressen des Webservers in den DNS-Einstellungen der zugehörigen Domains zu verzeichnen. (Einer Server-IP lässt sich maximal ein Zertifikat zuweisen; bei Let's Encrypt kann ein solches Zertifikat bis zu 100 SAN-Namen abdecken.)
Auf den von Let's Encrypt unterstützten Systemen zeichnet für die Installation des Zertifikats ein Tool namens Certbot verantwortlich. Detaillierte Anweisungen hierzu liefert der Online-Assistent von Let's Encrypt unter der Adresse: https://certbot.eff.org/
:quality(80)/images.vogel.de/vogelonline/bdb/1017600/1017622/original.jpg "Wer mit Let's Encrypt seine Webseite verschlüsselt, sollte zumindest mit kleineren Fehlern rechnen, die sich aber rasch ausfindig machen lassen. (Moritz Jäger)")
Gratis-SSL-Zertifikat in der Praxis
Wordpress-Website mit Let‘s Encrypt verschlüsseln
HTTPS-Spitzenperformance mit HTTP/2
Seit Tim Berners-Lee das Web vor 27 Jahren aus der Taufe hob, hat sich an dem Übertragungsprotokoll HTTP (Hypertext Transfer Protocol) kaum etwas geändert. Die gängige Version 1.1 von HTTP wurde für den Einsatz mit TLS nicht konzipiert; das Resultat einer Umstellung auf HTTPS ist ein massiver Performance-Einbruch. Dieser lässt sich nicht bloß durch die Bereitstellung zusätzlicher Rechenleistung kompensieren, einfach weil HTTP 1.1 viel zu träge ist. Abhilfe schafft hier HTTP/2.
Zu den wichtigsten Verbesserungen des Kommunikationsablaufs in HTTP/2 zählen die folgenden Features:
- Persistente Datenverbindungen: Dadurch entfällt die Notwendigkeit, den Kommunikationsaufbau zur Bereitstellung einzelner Seitenelemente zwischen dem Server und dem Client jedes Mal aufs Neue zu verhandeln; Multiplexing reduziert die Anzahl der benötigten Verbindungen auf eine pro Webseite und führt zu einer besseren Auslastung der Bandbreite.
- Multiplexing: Der Browser kann im Rahmen einer einzigen Verbindung gleich mehrere Anfragen an den Server senden und mehrere Website-Ressourcen vom Server empfangen.
- Server-Push: In HTTP/1.1 muss der Browser jede Ressource explizit anfragen; in HTTP/2 sendet der Webserver bei absehbaren Folgeanforderungen relevante Daten schon mal vorab, auf Verdacht, direkt in den Cache des Webbrowsers, um eine schnellere Bereitstellung dieser Ressourcen zu ermöglichen.
- Schrumpfkur für den Nachrichtenkopf: In HTTP/1.1 wurden alle Header, einschließlich Cookies, für jedes Objekt einzeln und stets unkomprimiert im Klartext übertragen; In HTTP/2 werden alle Header in einem Block zusammengefasst, zur Vermeidung von Redundanzen dedupliziert, mit einem Verfahren namens HPACK komprimiert und nach dem Übertragen schließlich ausgepackt und ausgewertet.
- Optimierungen: Eine gezielte Gewichtung von Datenbeständen unter Berücksichtigung interner Abhängigkeiten ermöglicht eine intelligente Priorisierung von Datenströmen durch den Browser und damit eine schnellere Bereitstellung der Webseite.
- Umstellung auf ein Binärformat: Binäre Datenpakete sind kompakter und lassen sich ohne eine Konversion verarbeiten.
Eine typische Webseite lässt sich durch die bloße Umstellung auf HTTP/2 (also ohne sonstige Verbesserungen) um mindestens 30 Prozent beschleunigen.
Fazit
Mit der Androhung von Sanktionen für die fehlende Transportverschlüsselung sorgte Google vielerorts für hektische Betriebsamkeit im Zuge einer chaotischen Umstellung auf HTTPS. Für die letzten Zweifler ist die DSGVO mit ihren drakonischen Strafen ein überzeugendes wirtschaftliches Argument für den Einsatz von HTTPS.
Die Erkenntnis, dass die TLS-Verschlüsselung über HTTP 1.1 die Performance für die Besucher massiv verschlechtert, ist dennoch längst noch nicht überall angekommen. Zu den Verlierern zählen auf der einen Seite die Webbesucher, weil sie beim Surfen unnötige Latenzzeiten in Kauf nehmen müssen, auf der anderen Seite aber auch die Website-Betreiber selbst, weil ihre Server unter der Last von TLS über HTTP 1.1 plötzlich träge wirken und ihr SEO-Ranking einbüßen.
Wer bei der Zwangsumstellung auf HTTPS nicht unnötig Leistungseinbuße in Kauf nehmen möchte, sollte beim Aktivieren von TLS-Verschlüsselung von HTTP 1.1 auf HTTP/2 umschalten. Wem die Sicherheit von HTTPS-Verbindungen wirklich am Herzen liegt, ist gut beraten, auch die TLS-Konfiguration zu überdenken. Den technischen Details der Umstellung widmet sich der nächste Beitrag aus unserer Serie zur Transportverschlüsselung „HTTPS-Praxis mit TLS 1.3“.
An HTTPS kommen Website-Betreiber jedenfalls jetzt nicht mehr vorbei.
Über die Autoren: Filipe Pereira Martins und Anna Kobylinska von McKinley Denali Inc. sind als IT-Consultants auf Cybersecurity spezialisiert und sind für die Leser auf Twitter via @RealPro4Real, @CloudInsidr und @D1gitalInfo erreichbar.
(ID:45291298)
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")