HTTPS, SSL/TLS

TLS

„Transport Layer Security“ (TLS), häufig unter dem Namen des Vorgängers SSL, oder der häufigsten Verwendung, dem HTTPS-Protokoll, bekannt, ist ein zertifikatsbasiertes Verschlüsselungsprotokoll zur sicheren Übertragung von Daten im Internet. TLS ist nicht nur der de-facto-Standard für die sichere Übertragung von Website-Inhalten und -Eingaben, sondern wird zur Absicherung verschiedenster Protokolle und Dienste verwendet, beispielsweise E-Mail und (VoIP)-Telefonie.

greenhats testet sowohl das Vorhandensein, als auch die korrekte Implementierung von TLS. TLS schützt potenziell sensible Daten, die Besucher oder Kunden übertragen, verhindert aber auch Man-in-the-Middle-Angriffe, die ebenso auf sensible Daten abzielen können, aber auch die Darstellung falscher oder modifizierter Website-Inhalte ermöglichen.

Allein deshalb ist eine fehlende oder nicht korrekte Implementierung von TLS ein massives Sicherheitsproblem, selbst auf weniger „kritischen“ Seiten. Die zusätzliche Serverlast durch TLS ist mittlerweile vernachlässigbar, und mit Diensten wie Let’s encrypt ist TLS kostenlos, schnell und einfach eingerichtet.

Aktuelle Entwicklungen

Warnung in Firefox
Firefox zeigt schon seit einiger Zeit Warnhinweise bei der Eingabe an, wenn sensible Formulardaten auf einer Website unverschlüsselt übertragen werden. Chrome wird hier in der kommenden Version 68 (ab Juli 2018) nachziehen und ebenso warnen, und zusätzlich jegliche nicht über HTTPS übertragenen Websites in der Adresszeile als „Nicht sicher“ markieren. Dies würde bei fortbestehendem Verharren auf unverschlüsselten Websites bedeuten, dass potenziellen Kunden und Besuchern schon beim Besuch der Website der Eindruck vermittelt wird, dass ein Unternehmen es mit der Sicherheit wohl nicht so genau nimmt – mit möglicherweise großen Auswirkungen auf Image und Kundenvertrauen.

Image
Image

Symantec-Zertifikate

Zusätzlich wird Google’s Chrome-Browser ab Version 66 (ab April 2018) jegliche, durch Symantec vor dem 1. Juni 2016 ausgestellte Zertifikate mit einer Warnung versehen, und ab Version 70 (ab Oktober 2018) Verbindungen zu Seiten mit derartigen Zertifikaten sogar explizit als unsicher markieren. Diese Zertifikate müssen nicht direkt durch Symantec ausgestellt worden sein, sondern möglicherweise auch durch sogenannte Reseller, wie beispielsweise GeoTrust, RapidSSL und Thawte – wodurch zehntausende Websites betroffen sind. Um festzustellen, ob auch Ihre Website betroffen ist, kann der Dienst von SSL Labs verwendet werden. Hier wird bei Verwendung derartiger Zertifikate ein Warnhinhweis gegeben.