Anzeige

Anzeige

VERANSTALTUNGEN

Be CIO Summit
26.09.19 - 26.09.19
In Design Offices Frankfurt Wiesenhüttenplatz, Frankfurt am Main

3. DIGITAL MARKETING 4HEROES CONFERENCE
08.10.19 - 08.10.19
In Wien

it-sa 2019
08.10.19 - 10.10.19
In Nürnberg, Messezentrum

3. DIGITAL MARKETING 4HEROES CONFERENCE
15.10.19 - 15.10.19
In München

PM Forum 2019
22.10.19 - 23.10.19
In Nürnberg, NCC Ost

Anzeige

Anzeige

Schlüssel, der in Enter-Taste steckt

Übernahmen, Vertrauensverluste und innovative Entwicklungen: Das IT-Jahr 2018 war in Bezug auf die SSL-Verschlüsselung ziemlich turbulent. Die IT-Sicherheitsexperten der PSW GROUP machen einen SSL-Jahresrückblick.

Google holt zum Rundumschlag aus und entzieht namhaften Zertifizierungsstellen das Vertrauen

Mit den Chrome-Versionen 68 und 70, die im April und Oktober 2018 erschienen sind, entzog Google hunderttausenden von Domains das Vertrauen. Betroffen waren alle Verbindungen, die Zertifikate der Symantec-Gruppe genutzt haben – das waren insgesamt 11.510 Domains. Weitere 91.627 Domains waren nicht davor gefeit, ab Oktober in Chrome Warnmeldungen auszulösen, darunter fanden sich unter anderem das Bundesfinanzministerium und die Websites der Uni Hildesheim, Spiegel Online und wetter.de.

Christian Heutger„Es waren aber nicht nur die direkt von Symantec ausgestellten SSL-Zertifikate betroffen. Das Vertrauen wurde sämtlichen SSL/TLS-Zertifikaten entzogen, die in ihrer Vertrauenskette auf Symantec zurückgingen. Es waren also auch Zertifizierungsstellen wie RapidSSL, GeoTrust oder Thawte. Grund für das entzogene Vertrauen war übrigens die Falschausstellung eines SSL-Zertifikats für die Domain google.com von Symantec“, erklärt Christian Heutger (Foto), Geschäftsführer der PSW GROUP.

Einstellung dreijähriger SSL/TLS-Zertifikate

SSL-Verschlüsselung soll sicherer werden. Dafür kürzte das CA/Browser Forum die Laufzeiten von SSL-Zertifikaten: Seit Februar 2018 werden keine dreijährigen SSL/TLS-Zertifikate mehr ausgestellt. „Diese Neuerung betraf ausschließlich DV- und OV-Zertifikate, da EV-Zertifikate ohnehin nie länger als zwei Jahre gültig waren. Mit dieser Maßnahme sollen veraltete Verschlüsselungsstandards schneller verschwinden. Zudem sollten Zertifizierungsstellen die Möglichkeit erhalten, flexibel auf Sicherheitslücken zu reagieren und ihre SSL/TLS-Zertifikate entsprechend zu optimieren“, so Heutger.

Kein Vertrauen mehr ohne SSL

Seit der Version Google Chrome 68 warnt der Browser vor unverschlüsselten Websites. Wurden bislang HTTPS-Seiten mit einem “Sicher” gekennzeichnet, ging Google ab Juli 2018 dazu über, konkret vor unverschlüsselten Websites zu warnen. Begründet hat Google diesen Schritt damit, dass verschlüsselte Sites immer mehr zum Standard werden. Deshalb sei es notwendig, nicht mehr auf die SSL-Verschlüsselung hinzuweisen, sondern auf ihr Fehlen.

DSGVO macht SSL zum Muss

Am 25. Mai 2018 trat die vielfach diskutierte europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Europaweit wurden die Regelungen zum Verarbeiten personenbezogener Daten vereinheitlicht. Seitdem sind Website-Betreiber in der Pflicht, für die Integrität und Vertraulichkeit der ihnen übermittelten Daten Sorge zu tragen. „Website-Betreiber müssen nun für sämtliche Formulare, Anmelde- und Registrierseiten eine sichere Verbindung per https herstellen. Das ist natürlich nur eine Aufgabe von vielen, denn unter anderem müssen sie ihre Nutzer auch über Art, Umfang und Zweck der Datenerhebung und -verwendung unterrichten“, erläutert Christian Heutger.

TLS 1.3 offiziell verabschiedet

Mit TLS 1.3 hat die IETF den TLS 1.2-Nachfolger standardisiert. „Bis es dazu kam, hat es wirklich lange gedauert. Denn Banken und Behörden wollten mittels Opt-in-Technik gern weiterhin Zugang zu eigentlich verschlüsselten Verbindungen haben – nur zur Fehlersuche, versteht sich. Wenig verwunderlich, dass die IETF diesen kruden Vorschlag abgelehnt hatte“, freut sich Heutger.

Das lange Warten auf den neuen Standard hat sich übrigens gelohnt: Der Verbindungsaufbau wird mit TLS 1.3 kryptographisch abgesichert. Durch die Optimierung der Kryptoalgorithmen werden über die Pakete weniger Metadaten mitgeliefert, was der Privatsphäre sehr entgegenkommt. Zudem ermöglicht Zero-Round-Trip-Time-Resumption (0-RTT) Nutzern, kürzlich schon besuchte Sites beim Reconnect zügiger aufzubauen. Neue Sicherheitsmechanismen sorgen dabei dafür, dass dieses Feature nicht von Angreifern missbraucht werden kann. Mit dem neuen Standard ist außerdem die optimierte Variante von Authenticated Encryption, AEAD, verpflichtend geworden. Damit sind Vertraulichkeit, Integrität und Authentizität von Daten sichergestellt. „TLS 1.3 verzichtet außerdem auf veraltete Technologien wie MD5, SHA-1 oder RC4. Damit sinkt das Risiko von Konfigurationsfehlern“, ergänzt Heutger und weist darauf hin, dass neben dem DSA-Signaturalgorithmus auch benutzerdefinierte DHE-Gruppen und Komprimierungen weggefallen sind. Last but not least beschränken neue Chiffre-Suiten die Verwundbarkeiten während des TLS-Handshakes: Curve25519 in ECDH sorgt für eine Beschleunigung des Schlüsselaustauschs und zu einer reduzierten Latenz.

 
Tb W90 H64 Crop Int Be539183d9b47e4bd26ef9baf35452a1
Nov 29, 2018

Google erwirkt die Verbreitung von HTTPS-Verschlüsselung

Google gibt im Internet den Ton an und das ist auch beim Thema Verschlüsselung spürbar.…
SSL
Okt 30, 2018

6 Tipps zur Vermeidung von SSL-Blind-Spots

Die SSL-Nutzung nimmt mit jedem Jahr kontinuierlich zu, und auch Hacker nutzen diese…
Tb W90 H64 Crop Int 900308a69389ff283701b180d2f3092c
Mär 08, 2018

Entzug der Vertrauenswürdigkeit für SSL/TLS-Zertifikate

Besitzer von SSL-Zertifikaten von Symantec, Thawte und GeoTrust, deren Zertifikate vor…
GRID LIST
Top Secret

Das neue Gesetz zum Schutz von Geschäftsgeheimnissen

Nicht alle Unternehmensinformationen sind für fremde Ohren bestimmt. Wissen ist Macht,…
Breach

Warum bleiben so viele Datenschutzverstöße so lange unentdeckt?

Obwohl ständig neue Cybersicherheitstechnologien auf den Markt kommen und…
Frau mit Lupe

Kartenzahlungsvorgänge unter der Datenschutzlupe

Anfang September 2018 gab British Airways bekannt, eine massive Datenschutzverletzung…
EU-Flagge und USA-Flagge

CLOUD Act - Schatten über der DSGVO

Nahezu zeitgleich mit der DSGVO ist der US-amerikanische CLOUD Act in Kraft getreten. In…
Verschlüsselungslösung

Tool „Panda Full Encryption“ ist da

Sie kommt als umfassende Verschlüsselungslösung für Laufwerke von PCs, Laptops und…
E-Mail

MTA-STS: Neuer Verschlüsselungsstandard zwischen Mailservern

MTA-STS steht für “Mail Transfer Agent – Strict Transport Security”. Der neue Standard…