TLS-Reifegradmodell

Wichtige Schritte zur TLS-Impementierung

| Autor / Redakteur: Ivan Ristic* / Stephan Augsten

Reifegrad 4 – Engagement

Beim Reifegrad 4 geht es um das langfristige Engagement für Verschlüsselung. Bei Websites erreichen Sie diese Stufe, indem Sie HTTP Strict Transport Security (HSTS) aktivieren, einen relativ neuen Standard, der von allen modernen Browsern unterstützt wird. HSTS setzt ein strikteres TLS-Sicherheitsmodell durch und bekämpft damit SSL-Stripping sowie Angriffe, die darauf basieren, dass ein Nutzer trotz Zertifikatswarnungen weiterklickt.

Reifegrad 5 – Robuste Sicherheit

Auf dem Reifegrad 5 richtet man sich in der PKI-Cloud eine eigene kleine Ecke ein, um sich vor der größten Schwäche der Public Key Infrastructure zu schützen: der Tatsache, dass jede Zertifizierungsstelle ein Zertifikat für jede beliebige Website ausstellen kann, ohne die Erlaubnis des Eigentümers zu haben. Dies lässt sich mit dem Einsatz von Public Key Pinning verhinden. Dabei legt man entweder fest, welche CAs Website-Zertifikate ausstellen dürfen, oder genehmigt jedes Zertifikat einzeln, was noch sicherer ist.

Das Mindestniveau

Dank der konzeptionellen Einfachheit des TLS-Reifegradmodells können wir leicht feststellen, wo wir gerade stehen und was wir tun müssen, um Verbesserungen herbeizuführen. So können wir unsere Aufmerksamkeit auf das konzentrieren, was wirklich wichtig ist. Reifegrad 5 bietet zwar die größte Sicherheit, bringt aber auch die meiste Arbeit mit sich und behandelt Risiken, die für die Mehrzahl der Websites gar nicht bestehen.

Man kann wohl sagen, dass der Reifegrad 4 ein Mindestniveau ist, das noch als sicher bezeichnet werden darf und das die meisten Unternehmen anstreben sollten. Die Reifegrade 1 bis 3 sollten als Zwischenstufen verstanden werden, die einen klaren Optimierungspfad vorzeichnen, bis schließlich Reifegrad 4 erreicht ist.

Wenn Sie gerade erst mit diesem Modell zu arbeiten beginnen, empfehle ich Ihnen, kleine Schritte zu machen. Nachdem Sie bei Reifegrad 1 angelangt sind, können Sie Ihr Vorgehen planen. Am besten ermitteln Sie die wichtigsten Dienste und sehen zu, dass diese schnell auf ihren endgültigen Reifegrad gebracht werden, selbst wenn andere Server deshalb vorerst auf niedrigeren Stufen verbleiben.

Die Erfahrung zeigt, dass es zudem am besten ist, zu den Reifegraden 2, 3 und 4 unabhängig und parallel überzugehen. Dies deswegen, weil für die verschiedenen Ebenen oft verschiedene Teams zuständig sind. Außerdem erfordern sie ein unterschiedliches Maß an Vorbereitung, Planung und Veränderung.

Wenn Sie nur wenig Zeit zur Verfügung haben, fokussieren Sie darauf, schnellstmöglich HSTS auf Ihren Servern zu aktivieren, auch wenn das bedeuten sollte, dass einige vorhergehende Reifegrade vernachlässigt werden. Viel Erfolg!

* Ivan Ristic ist Leiter der SSL Labs von Qualys.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43552787 / Protokolle und Standards)