Anzeige

Anzeige

VERANSTALTUNGEN

4. Cyber Conference Week
01.07.19 - 05.07.19
In Online

IT kessel.19 – Der IT Fachkongress
04.07.19 - 04.07.19
In Messe Sindelfingen

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

Anzeige

Anzeige

Schlüssel, der in Enter-Taste steckt

Übernahmen, Vertrauensverluste und innovative Entwicklungen: Das IT-Jahr 2018 war in Bezug auf die SSL-Verschlüsselung ziemlich turbulent. Die IT-Sicherheitsexperten der PSW GROUP machen einen SSL-Jahresrückblick.

Google holt zum Rundumschlag aus und entzieht namhaften Zertifizierungsstellen das Vertrauen

Mit den Chrome-Versionen 68 und 70, die im April und Oktober 2018 erschienen sind, entzog Google hunderttausenden von Domains das Vertrauen. Betroffen waren alle Verbindungen, die Zertifikate der Symantec-Gruppe genutzt haben – das waren insgesamt 11.510 Domains. Weitere 91.627 Domains waren nicht davor gefeit, ab Oktober in Chrome Warnmeldungen auszulösen, darunter fanden sich unter anderem das Bundesfinanzministerium und die Websites der Uni Hildesheim, Spiegel Online und wetter.de.

Christian Heutger„Es waren aber nicht nur die direkt von Symantec ausgestellten SSL-Zertifikate betroffen. Das Vertrauen wurde sämtlichen SSL/TLS-Zertifikaten entzogen, die in ihrer Vertrauenskette auf Symantec zurückgingen. Es waren also auch Zertifizierungsstellen wie RapidSSL, GeoTrust oder Thawte. Grund für das entzogene Vertrauen war übrigens die Falschausstellung eines SSL-Zertifikats für die Domain google.com von Symantec“, erklärt Christian Heutger (Foto), Geschäftsführer der PSW GROUP.

Einstellung dreijähriger SSL/TLS-Zertifikate

SSL-Verschlüsselung soll sicherer werden. Dafür kürzte das CA/Browser Forum die Laufzeiten von SSL-Zertifikaten: Seit Februar 2018 werden keine dreijährigen SSL/TLS-Zertifikate mehr ausgestellt. „Diese Neuerung betraf ausschließlich DV- und OV-Zertifikate, da EV-Zertifikate ohnehin nie länger als zwei Jahre gültig waren. Mit dieser Maßnahme sollen veraltete Verschlüsselungsstandards schneller verschwinden. Zudem sollten Zertifizierungsstellen die Möglichkeit erhalten, flexibel auf Sicherheitslücken zu reagieren und ihre SSL/TLS-Zertifikate entsprechend zu optimieren“, so Heutger.

Kein Vertrauen mehr ohne SSL

Seit der Version Google Chrome 68 warnt der Browser vor unverschlüsselten Websites. Wurden bislang HTTPS-Seiten mit einem “Sicher” gekennzeichnet, ging Google ab Juli 2018 dazu über, konkret vor unverschlüsselten Websites zu warnen. Begründet hat Google diesen Schritt damit, dass verschlüsselte Sites immer mehr zum Standard werden. Deshalb sei es notwendig, nicht mehr auf die SSL-Verschlüsselung hinzuweisen, sondern auf ihr Fehlen.

DSGVO macht SSL zum Muss

Am 25. Mai 2018 trat die vielfach diskutierte europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Europaweit wurden die Regelungen zum Verarbeiten personenbezogener Daten vereinheitlicht. Seitdem sind Website-Betreiber in der Pflicht, für die Integrität und Vertraulichkeit der ihnen übermittelten Daten Sorge zu tragen. „Website-Betreiber müssen nun für sämtliche Formulare, Anmelde- und Registrierseiten eine sichere Verbindung per https herstellen. Das ist natürlich nur eine Aufgabe von vielen, denn unter anderem müssen sie ihre Nutzer auch über Art, Umfang und Zweck der Datenerhebung und -verwendung unterrichten“, erläutert Christian Heutger.

TLS 1.3 offiziell verabschiedet

Mit TLS 1.3 hat die IETF den TLS 1.2-Nachfolger standardisiert. „Bis es dazu kam, hat es wirklich lange gedauert. Denn Banken und Behörden wollten mittels Opt-in-Technik gern weiterhin Zugang zu eigentlich verschlüsselten Verbindungen haben – nur zur Fehlersuche, versteht sich. Wenig verwunderlich, dass die IETF diesen kruden Vorschlag abgelehnt hatte“, freut sich Heutger.

Das lange Warten auf den neuen Standard hat sich übrigens gelohnt: Der Verbindungsaufbau wird mit TLS 1.3 kryptographisch abgesichert. Durch die Optimierung der Kryptoalgorithmen werden über die Pakete weniger Metadaten mitgeliefert, was der Privatsphäre sehr entgegenkommt. Zudem ermöglicht Zero-Round-Trip-Time-Resumption (0-RTT) Nutzern, kürzlich schon besuchte Sites beim Reconnect zügiger aufzubauen. Neue Sicherheitsmechanismen sorgen dabei dafür, dass dieses Feature nicht von Angreifern missbraucht werden kann. Mit dem neuen Standard ist außerdem die optimierte Variante von Authenticated Encryption, AEAD, verpflichtend geworden. Damit sind Vertraulichkeit, Integrität und Authentizität von Daten sichergestellt. „TLS 1.3 verzichtet außerdem auf veraltete Technologien wie MD5, SHA-1 oder RC4. Damit sinkt das Risiko von Konfigurationsfehlern“, ergänzt Heutger und weist darauf hin, dass neben dem DSA-Signaturalgorithmus auch benutzerdefinierte DHE-Gruppen und Komprimierungen weggefallen sind. Last but not least beschränken neue Chiffre-Suiten die Verwundbarkeiten während des TLS-Handshakes: Curve25519 in ECDH sorgt für eine Beschleunigung des Schlüsselaustauschs und zu einer reduzierten Latenz.

 
Tb W90 H64 Crop Int Be539183d9b47e4bd26ef9baf35452a1
Nov 29, 2018

Google erwirkt die Verbreitung von HTTPS-Verschlüsselung

Google gibt im Internet den Ton an und das ist auch beim Thema Verschlüsselung spürbar.…
SSL
Okt 30, 2018

6 Tipps zur Vermeidung von SSL-Blind-Spots

Die SSL-Nutzung nimmt mit jedem Jahr kontinuierlich zu, und auch Hacker nutzen diese…
Tb W90 H64 Crop Int 900308a69389ff283701b180d2f3092c
Mär 08, 2018

Entzug der Vertrauenswürdigkeit für SSL/TLS-Zertifikate

Besitzer von SSL-Zertifikaten von Symantec, Thawte und GeoTrust, deren Zertifikate vor…
GRID LIST
Datensicherheit Erdkugel

Wer seine Daten nicht schützt, wird zum Verlierer

Die Gefahren im neuen digitalen Zeitalter wachsen, neue „Spielregeln“ verändern die Welt.…
DSGVO Last

Innovationsbremse DSGVO: Hemmnis für europäische Start-Ups

Vor rund einem Jahr ist die zweijährige Übergangsfrist der Datenschutzgrundverordnung…
Passwort

Datenklau 2019: Passwort-Manager schützen vor Hacker-Angriffen

Das Thema Datenklau ist durch den vor Kurzem öffentlich gewordenen Leak von Politiker-…
Schloss vor Tastatur

E-Mail-Verschlüsselung für jeden

Reddcrypt soll E-Mails ganz einfach verschlüsseln, auf jedem Endgerät, mit jeder…
DSGVO

Nach einem Jahr DSGVO sind noch viele Unternehmen unsicher

Am 25. Mai gilt die DSGVO seit einem Jahr in allen EU-Mitgliedstaaten. In dieser Zeit…
Tb W190 H80 Crop Int D14174f9f546d61501920965da89725c

Ein Jahr DSGVO: Viel Arbeit - und viele offene Fragen

Die größte Aufregung rund um die Datenschutzgrundverordnung hat sich nach einem Jahr…