Verschlüsselung

HTTP-Verbindungen verschwinden bei Apple, Microsoft und Wikimedia zugunsten von HTTPS

22. Dezember 2015
  • Verschlüsselung

Nachdem Mozilla Anfang Mai verkündete, sich von HTTP zu verabschieden und HTTPS zu forcieren, ziehen nun mit Apple, Microsoft und der Wikimedia Foundation weitere wichtige Hersteller und Anbieter nach. Apple veranlasst, dass Entwickler ausschließlich via HTTPS übertragen, Microsoft hat HSTS in den Internet Explorer (IE) und Edge, dem Browser von Windows 10, eingeführt und die Wikimedia Foundation setzt ebenfalls auf HSTS.

Apple mobilisiert gegen unsichere HTTP-Verbindungen

Im iOS Developer Library über die Neuerungen in iOS 9 verkündet Apple, dass Entwickler, die neue Apps einreichen, ausschließlich auf HTTPS-verschlüsselte Übertragungswege setzen sollten. Auch für bestehende Apps soll künftig ein HTTP-Verzicht gelten: zu einem noch nicht konkret definierten Zeitpunkt wird Apple ausschließlich Apps zulassen, die HTTPS nutzen. Entwickler sollen mithilfe der neu eingeführten Technik ATS („Application Transport Security“) Unterstützung erhalten. Mit ATS müssten die Apps dann lediglich die Domains angeben, mit denen sie kommunizieren möchten, zudem soll ATS das versehentliche Preisgeben von Daten verhindern, leicht zu integrieren sein und für sichere Standardkonfigurationen sorgen. Da Apple lediglich von der Kommunikation zwischen den Apps und den „Backend-Servern“ spricht, ist unklar, ob die HTTPS-Pflicht ausschließlich für Safari oder auch für Browser von Drittanbietern gilt.

Die Mac OS X 10.11-Dokumentation macht deutlich, dass mithilfe von ATS jedwede Klartext-Verbindung via HTTP unterbunden wird, es sei denn, der Entwickler kann gute Gründe für das Verwenden des unverschlüsselten HTTP-Protokolls liefern. Vorübergehend möchte Apple solche Ausnahmen über die Konfiguration der Einstellungsdatei zulassen. Um einheitliche Standards zu setzen, möchte Apple für die HTTPS-Verbindungen Voraussetzungen bezüglich verwendeter TLS-Versionen und Cipher Suiten festlegen; Details nennt der Konzern im weiteren Verlauf seiner WWDC-Entwicklerkonferenz. Im Herbst dieses Jahres sollen Mac OS X 10.11 „El Capitan“ und iOS 9 erscheinen.

Microsoft führt HSTS ein

Die Browser Chrome, Firefox, Safari und Opera unterstützen HSTS („HTTP Strict Transport Security“) bereits, nun spendiert auch Microsoft seinen Browsern IE 11 (Windows 7, 8 und 8.1) und Edge (Windows 10) das Verfahren: Mit dem Patchday vom 10. Juni 2015 erhielten die hauseigenen Browser mit dem Update KB 3058515 HSTS-Unterstützung. Mithilfe des HSTS-Verfahrens kann sichergestellt werden, dass Nutzer immer den sicheren Weg via HTTPS gehen, selbst wenn Bookmarks oder manuelle Eingaben auf HTTP-Websites verweisen. Denn kompatible Browser werden beim Aufrufen einer Website, die HSTS unterstützt, grundsätzlich dazu überredet, die sicher verschlüsselte HTTPS-Verbindung zu wählen. Das gilt auch, wenn mögliche Angreifer unverschlüsselte HTTP-Verbindungen als sichere HTTPS-Verbindungen vorgaukeln möchten, sodass möglichen Man-in-the-Middle-Angriffen mithilfe von HSTS vorgebeugt werden kann.

Website-Admins haben zwei Möglichkeiten, Browsern HSTS anzubieten: entweder über einen HTTP response header oder durch das Abrufen einer Liste mit HSTS-fähigen Websites. Microsoft selbst nutzt eine Liste, die Googles Chromium-Projekt entstammt. Gelangen Nutzer auf Websites, auf denen verschlüsselte und unverschlüsselte Inhalte gemischt werden, blockt der neue Browser Edge solche Inhalte, während der IE auf das Wissen des Nutzers hofft und nachfragt, ob sämtliche Elemente ausgeführt werden sollen.

Wikimedia Foundation setzt ebenfalls auf HSTS

Auch die Wikimedia Foundation erweitert ihre Sicherheitsparameter um HSTS: ein Blogbeitrag der Foundation zeigt, dass Nutzer bereits seit 2011 mithilfe des Browser-Plugins HTTPS Everywhere oder manuell das HTTPS-Protokoll nutzen können. Auch Suchergebnisse in Suchmaschinen werden standardmäßig verschlüsselt ausgegeben. Sämtliche Wikipedia-Sitzungen von angemeldeten Nutzern sind bereits seit 2013 verschlüsselt. Nun möchte die Wikimedia Foundation mittels HSTS auch jene auf eine verschlüsselte Verbindung umleiten, die diese Features bislang nicht genutzt haben.

Mit dem Einbinden von HSTS lässt sich weder die Kommunikation zwischen den hauseigenen Servern und den Browsern der Nutzer noch die Suchanfragen auf der Seite selbst abfangen; sämtliche Inhalte verschlüsselt die Wissensdatenbank. HSTS übernimmt dabei die Aufgaben, Fallbacks auf ältere Verschlüsselungsstandards sowie das Übernehmen der Cookies durch zwischengeschaltete Server zu vermeiden, womit es ziemlich leicht möglich wäre, die Verbindungen zu kapern und die Kommunikation zu entschlüsseln. Begonnen hat der Umstellungsprozess am 12. Juni 2015; derzeit existiert noch kein Datum, ab wann die deutschen URLs automatisch auf HTTPS umgeleitet werden.

Die gemeinnützige Organisation schreibt in ihrem Beitrag über die riesige technische Herausforderung, denn die Hardware-Ausrüstung musste in zahlreichen Ländern ausgebaut werden. Weiter waren Softwareentwicklungen in großem Ausmaß und das Beheben etwaiger Kompatibilitätsprobleme mit vielen verschiedenen Geräten Baustellen, die die Organisation stemmen musste. Die Wikimedia Foundation weist darauf hin, dass Wikipedia-Seiten nun langsamer laden könnten als dies vor der Umstellung der Fall war. Umfangreiche Tests und das Analysieren des Nutzerverhaltens könnten dies nicht verhindern, was insbesondere für Länder gilt, deren Netzwerk-Infrastruktur schlechter ausgestattet ist. Die kommenden Wochen möchte das Team dafür nutzen, diese Fehler auszuräumen. Geneigte Wikipedia-Nutzer können sich beizeiten einen detaillierten Bericht anschauen, der die gesamte Umstellung dokumentiert.

HTTPS: das World Wide Web soll sicherer werden

Mit dem vorangetriebenen Verwenden von HTTPS anstelle des unsicheren HTTP gehen die verschiedenen Entwickler einen maßgeblichen Schritt in Richtung sicheres Internet. Jedoch sind auch Website-Admins in der Pflicht, mitzuziehen – SSL-Verschlüsselung wird aus gutem Grund immer mehr zum Standard. Dass die Entwickler schrittweise umstellen, gibt Ihnen als Website-Admin die Möglichkeit, in Ruhe zu handeln. Bedenken Sie bitte bei der Auswahl Ihres SSL-Zertifikats, dass domainvalidierte Zertifikate (DV) den Ansprüchen der Entwickler nicht standhalten. Werfen Sie einen Blick auf die Eigenschaften der unterschiedlichen Authentifizierungskategorien:

  • DV (domainvalidiert): Sie nutzen Verschlüsselung, validiert wird die Domain, angezeigt wird ein Vorhängeschloss im Browser und die Ausstellung dauert lediglich einige Minuten.
  • OV (organisationsvalidiert): Sie verschlüsseln und authentifizieren sich, das Zertifikat erhält einen Nachweis des Rechts zum Nutzen der Domain sowie Informationen über Sie, die das Vertrauen stärken. Die Ausstellung erfolgt binnen ein bis zwei Werktagen.
  • EV (Extended Validation): Unternehmen und Institutionen werden strikt nach Industriestandards authentifiziert, die grüne Adressleiste erscheint im Browser, die Nachweise zum Domainrecht sowie die Informationen zum Unternehmen sind ebenfalls enthalten und die Ausstellung benötigt ca. sieben bis zehn Werktage.

DV-Zertifikate sind unzureichend, da die SSL-Zertifizierung nach einfachsten Standards erfolgt. Ein solches SSL-Zertifikat enthält lediglich die Information, dass Ihre Domain registriert ist und eine Person, die über administrative Vollmachten verfügt, die Anfrage der Zertifizierung genehmigt hat – keine vertrauensbildenden Informationen zum Website-Inhaber werden genannt. Stärker und ausführlicher hingegen ist die Validierung bei OV-SSL-Zertifikaten; bis vor wenigen Jahren waren diese Zertifikate sogar die stärkste Stufe. Validiert werden sowohl Ihre Inhaberschaft der zu sichernden Domain als auch die Informationen zum Antragsteller, die im SSL-Zertifikat enthalten sind. Eine grüne Adressleiste erhalten Sie jedoch ausschließlich mit EV-Zertifikaten. Die grüne Adressleiste schafft nicht nur Vertrauen, sondern gilt auch als effizienter Schutz vor Phishing-Versuchen. Möchten Sie sich beraten lassen, welches SSL-Zertifikat auf den von Ihnen gewünschten Verwendungszweck passt, stehen Ihnen unsere SSL-Experten gerne zur Seite. Nehmen Sie wahlweise Kontakt mit uns auf, stellen Sie Ihre Fragen gerne auch in den Kommentaren oder wählen Sie Ihr SSL-Zertifikat über unseren SSL-Assistenten aus. In unserem umfassenden SSL-Portfolio, bestehend aus namhaften Zertifizierungsstellen, werden Sie fündig – egal, ob kleine Website oder große Online-Präsenz mit Shopanbindung.

Update: Reddit & Bing ziehen ebenfalls nach

Zwei weitere prominente Seiten ziehen nach: Reddit und Bing, die Suchmaschine von Microsoft, werden bald ausschließlich via HTTPS erreichbar sein. Beide Services sind bereits verschlüsselt über HTTPS-URLs abrufbar, jedoch werden künftig sämtliche Besucher standardmäßig auf HTTPS gelotst. Reddit kündigt an, mit dem 29. Juni 2015 umzustellen. Das CDN CloudFlare liefert die HTTPS-Version aus. Für den Schlüsselaustausch setzt Reddit dann auf ECDHE (Elliptic Curve Diffie-Hellman Exchange) mit Forward Secrecy, um das nachträgliche Entschlüsseln zu verhindern.

Deutlich weniger präzise drückt sich Microsoft aus: der Redmonder Software-Riese spricht lediglich von einer Umstellung in diesem Sommer. Neben der Verschlüsselung möchte Microsoft auch am Datenschutz arbeiten und wird das Übertragen des Referers einschränken. Momentan erfahren Website-Betreiber die komplette URL der Suchergebnisliste, wenn die Seite über Bing gefunden und geöffnet wird. In dieser URL sind unter anderem Suchbegriffe lesbar. In Zukunft sollen Website-Betreiber lediglich herauslesen können, dass der Besucher über Bing kommt, jedoch nicht, wonach er gesucht hat. Microsoft verweist Webmaster sowie Anzeigenkunden, für die die gesuchten Begriffe naturgemäß relevant sind, auf die Dienste Universal Event Tracking, Search Query Terms Report sowie den Bing Webmastertools.

Update: Google crawlt und bevorzugt HTTPS

Im August 2014 kündigte Google an, Sicherheit als Ranking-Faktor anzusehen: Websites mit HTTPS sollten besser ranken als unverschlüsselte Sites. Nun veröffentlicht Google in einem Blogbeitrag die Information, dass HTTPS-Seiten ab sofort automatisch indexiert und in den Suchergebnislisten bevorzugt werden. Mehr noch: selbst wenn die HTTPS-Site nirgends verlinkt ist, wird sie im Ranking gegenüber unverschlüsselten, womöglich hier und dort verlinkten Sites bevorzugt. Um HTTPS-Sites automatisch indexieren und besser ranken zu lassen, stellt Google die folgenden Bedingungen an Webmaster:

  • die Website enthält keine unsicheren Abhängigkeiten
  • die Website wird nicht vom Crawling der robots.txt-Datei blockiert
  • User werden nicht an oder über eine unsichere HTTP-Verbindung weitergeleitet
  • es existieren keine rel=“canonical“-Verbindungen zu unsicheren HTTP-Sites
  • die Site enthält keine no-index-Robots-Meta-Tags
  • in den Sitemaps werden die HTTPS-URLs geführt oder eben nicht die HTTP-Version der URL
  • der Server verfügt über ein gültiges TLS-Zertifikat

Google gibt den Tipp, einen HSTS-Header auf dem Server zu implementieren, um die Weiterleitung von HTTP auf HTTPS zu garantieren. Mehr über HSTS erfahren Sie in der dem Blogbeitrag „SSL gezielt optimieren“ angehängten Broschüre am Ende des Beitrags.



0 Kommentar(e)

Schreibe einen Kommentar