TLS-Reifegradmodell

Wichtige Schritte zur TLS-Impementierung

| Autor / Redakteur: Ivan Ristic* / Peter Schmitz

Viele Unternehmen können überhaupt nicht nachvollziehen, auf welchem Stand sie hinsichtlich der TLS-Sicherheit sind.
Viele Unternehmen können überhaupt nicht nachvollziehen, auf welchem Stand sie hinsichtlich der TLS-Sicherheit sind. (Bild: Tomasz Zajda - Fotolia-com)

Über die Jahre ist es nicht etwa einfacher geworden, Transport Layer Security (TLS) auf sichere Weise einzusetzen, ganz im Gegenteil. Ein TLS-Reifegradmodell könnte aber vielen Unternehmen dabei helfen, die wirklich wichtigen Punkte der TLS-Implementierung im Auge zu behalten.

Ein wesentlicher Teil meiner Arbeit für SSL Labs besteht darin, anderen bei der Verbesserung ihrer TLS-Sicherheit zu helfen. Dies geschieht sowohl direkt als auch indirekt, unter anderem durch die Entwicklung von Tools und das Verfassen von Dokumentationen.

Dabei hat sich gezeigt, dass Unternehmen ihre TLS-Sicherheit zwar verbessern möchten, aber nicht wissen, wo sie gerade stehen, wo sie eigentlich stehen müssten und wie sie dort hingelangen. Deswegen möchte ich ein TLS-Reifegradmodell vorstellen – ein konzeptionelles Einsatzmodell, das beschreibt, wie zuverlässige TLS-Sicherheit erreicht werden kann.

Dieses Modell besteht aus sechs Reifegraden. IT-Teams, die es erstmals anwenden, sollten davon ausgehen, dass sie ganz unten stehen, und sich von dort aus hocharbeiten, indem sie ihre Sicherheitsaufstellung überprüfen.

Reifegrad 0 – Das Chaos regiert

Auf dem Reifegrad 0 herrscht Chaos. Es existieren keine Richtlinien oder Regeln für TLS, die Sicherheit ist dem Zufall überlassen (z.B. herstellerseitigen Voreinstellungen) und wird von einzelnen Personen und Ad-hoc-Maßnahmen dominiert. Man kann also nicht wissen, wie es aktuell um die Sicherheit bestellt ist und wie sie sich entwickeln wird. Selbst wenn eine bestehende Website sicher ist, kann man nicht davon ausgehen, dass neue Projekte ähnlich gut abschneiden werden. Jeder beginnt erst einmal auf dieser Stufe.

Reifegrad 1 – Sichtbarkeit erhöhen

Beim Reifegrad 1 geht es darum, den aktuellen Status einzuschätzen – ganz gleich, wie er aussieht. Um auf diese Ebene zu gelangen, muss das IT-Team ein vollständiges und aktuelles Inventar seiner SSL/TLS-Server anlegen. Zudem muss das Team die Sicherheit jedes einzelnen Servers überprüfen, um festzustellen, auf welcher Ebene des Reifegradmodells er sich befindet. Mit diesem Wissen kann man dann die gewünschte Ziel-Ebene für jeden Server festlegen und planen, wie sie sich erreichen lässt.

Reifegrad 2 – (Neu-) Konfiguration

Beim Reifegrad 2 liegt der Fokus ausschließlich auf der Sicherheit des TLS-Protokolls; höhere Protokolle werden ignoriert. Dieser Reifegrad ist der, über den wir am meisten reden, der aber in der Regel am einfachsten zu erreichen ist. Bei modernen Systemen geht es hier hauptsächlich um die Neukonfiguration von Servern. Ältere Systeme werden vielleicht ein Upgrade benötigen, oder es muss ihm schlechtesten Fall ein sichererer Proxy vor ihnen installiert werden.

Reifegrad 3 - Anwendungssicherheit

Beim Reifegrad 3 geht es darum, die höheren Anwendungsprotokolle abzusichern und dabei Probleme zu vermeiden, die andernfalls die Verschlüsselung gefährden könnten. Im Hinblick auf Websites muss auf dieser Stufe darauf geachtet werden, dass nicht in einer Anwendung oder auf einer Seite Klartext und verschlüsselte Bereiche vermischt werden.

Mit anderen Worten: die gesamte Anwendungsoberfläche muss verschlüsselt werden. Außerdem müssen alle Cookies der Anwendung sicher sein und beim Eintreffen auf ihre Integrität überprüft werden, um sich vor Cookie Injection zu schützen.

Reifegrad 4 – Engagement

Beim Reifegrad 4 geht es um das langfristige Engagement für Verschlüsselung. Bei Websites erreichen Sie diese Stufe, indem Sie HTTP Strict Transport Security (HSTS) aktivieren, einen relativ neuen Standard, der von allen modernen Browsern unterstützt wird. HSTS setzt ein strikteres TLS-Sicherheitsmodell durch und bekämpft damit SSL-Stripping sowie Angriffe, die darauf basieren, dass ein Nutzer trotz Zertifikatswarnungen weiterklickt.

Reifegrad 5 – Robuste Sicherheit

Auf dem Reifegrad 5 richtet man sich in der PKI-Cloud eine eigene kleine Ecke ein, um sich vor der größten Schwäche der Public Key Infrastructure zu schützen: der Tatsache, dass jede Zertifizierungsstelle ein Zertifikat für jede beliebige Website ausstellen kann, ohne die Erlaubnis des Eigentümers zu haben. Dies lässt sich mit dem Einsatz von Public Key Pinning verhinden. Dabei legt man entweder fest, welche CAs Website-Zertifikate ausstellen dürfen, oder genehmigt jedes Zertifikat einzeln, was noch sicherer ist.

Das Mindestniveau

Dank der konzeptionellen Einfachheit des TLS-Reifegradmodells können wir leicht feststellen, wo wir gerade stehen und was wir tun müssen, um Verbesserungen herbeizuführen. So können wir unsere Aufmerksamkeit auf das konzentrieren, was wirklich wichtig ist. Reifegrad 5 bietet zwar die größte Sicherheit, bringt aber auch die meiste Arbeit mit sich und behandelt Risiken, die für die Mehrzahl der Websites gar nicht bestehen.

Man kann wohl sagen, dass der Reifegrad 4 ein Mindestniveau ist, das noch als sicher bezeichnet werden darf und das die meisten Unternehmen anstreben sollten. Die Reifegrade 1 bis 3 sollten als Zwischenstufen verstanden werden, die einen klaren Optimierungspfad vorzeichnen, bis schließlich Reifegrad 4 erreicht ist.

Wenn Sie gerade erst mit diesem Modell zu arbeiten beginnen, empfehle ich Ihnen, kleine Schritte zu machen. Nachdem Sie bei Reifegrad 1 angelangt sind, können Sie Ihr Vorgehen planen. Am besten ermitteln Sie die wichtigsten Dienste und sehen zu, dass diese schnell auf ihren endgültigen Reifegrad gebracht werden, selbst wenn andere Server deshalb vorerst auf niedrigeren Stufen verbleiben.

Die Erfahrung zeigt, dass es zudem am besten ist, zu den Reifegraden 2, 3 und 4 unabhängig und parallel überzugehen. Dies deswegen, weil für die verschiedenen Ebenen oft verschiedene Teams zuständig sind. Außerdem erfordern sie ein unterschiedliches Maß an Vorbereitung, Planung und Veränderung.

Wenn Sie nur wenig Zeit zur Verfügung haben, fokussieren Sie darauf, schnellstmöglich HSTS auf Ihren Servern zu aktivieren, auch wenn das bedeuten sollte, dass einige vorhergehende Reifegrade vernachlässigt werden. Viel Erfolg!

* Ivan Ristic ist Leiter der SSL Labs von Qualys.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43552787 / Protokolle und Standards)