Jahresrückblick

Das war das Verschlüsselungs-Jahr 2018

Übernahmen, Vertrauensverluste und innovative Entwicklungen: Das IT-Jahr 2018 war in Bezug auf die SSL-Verschlüsselung ziemlich turbulent. Die IT-Sicherheitsexperten der PSW GROUP machen einen SSL-Jahresrückblick.

Google holt zum Rundumschlag aus und entzieht namhaften Zertifizierungsstellen das Vertrauen

Mit den Chrome-Versionen 68 und 70, die im April und Oktober 2018 erschienen sind, entzog Google hunderttausenden von Domains das Vertrauen. Betroffen waren alle Verbindungen, die Zertifikate der Symantec-Gruppe genutzt haben – das waren insgesamt 11.510 Domains. Weitere 91.627 Domains waren nicht davor gefeit, ab Oktober in Chrome Warnmeldungen auszulösen, darunter fanden sich unter anderem das Bundesfinanzministerium und die Websites der Uni Hildesheim, Spiegel Online und wetter.de.

Anzeige

Christian Heutger„Es waren aber nicht nur die direkt von Symantec ausgestellten SSL-Zertifikate betroffen. Das Vertrauen wurde sämtlichen SSL/TLS-Zertifikaten entzogen, die in ihrer Vertrauenskette auf Symantec zurückgingen. Es waren also auch Zertifizierungsstellen wie RapidSSL, GeoTrust oder Thawte. Grund für das entzogene Vertrauen war übrigens die Falschausstellung eines SSL-Zertifikats für die Domain google.com von Symantec“, erklärt Christian Heutger (Foto), Geschäftsführer der PSW GROUP.

Einstellung dreijähriger SSL/TLS-Zertifikate

SSL-Verschlüsselung soll sicherer werden. Dafür kürzte das CA/Browser Forum die Laufzeiten von SSL-Zertifikaten: Seit Februar 2018 werden keine dreijährigen SSL/TLS-Zertifikate mehr ausgestellt. „Diese Neuerung betraf ausschließlich DV- und OV-Zertifikate, da EV-Zertifikate ohnehin nie länger als zwei Jahre gültig waren. Mit dieser Maßnahme sollen veraltete Verschlüsselungsstandards schneller verschwinden. Zudem sollten Zertifizierungsstellen die Möglichkeit erhalten, flexibel auf Sicherheitslücken zu reagieren und ihre SSL/TLS-Zertifikate entsprechend zu optimieren“, so Heutger.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Kein Vertrauen mehr ohne SSL

Seit der Version Google Chrome 68 warnt der Browser vor unverschlüsselten Websites. Wurden bislang HTTPS-Seiten mit einem “Sicher” gekennzeichnet, ging Google ab Juli 2018 dazu über, konkret vor unverschlüsselten Websites zu warnen. Begründet hat Google diesen Schritt damit, dass verschlüsselte Sites immer mehr zum Standard werden. Deshalb sei es notwendig, nicht mehr auf die SSL-Verschlüsselung hinzuweisen, sondern auf ihr Fehlen.

DSGVO macht SSL zum Muss

Am 25. Mai 2018 trat die vielfach diskutierte europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Europaweit wurden die Regelungen zum Verarbeiten personenbezogener Daten vereinheitlicht. Seitdem sind Website-Betreiber in der Pflicht, für die Integrität und Vertraulichkeit der ihnen übermittelten Daten Sorge zu tragen. „Website-Betreiber müssen nun für sämtliche Formulare, Anmelde- und Registrierseiten eine sichere Verbindung per https herstellen. Das ist natürlich nur eine Aufgabe von vielen, denn unter anderem müssen sie ihre Nutzer auch über Art, Umfang und Zweck der Datenerhebung und -verwendung unterrichten“, erläutert Christian Heutger.

TLS 1.3 offiziell verabschiedet

Mit TLS 1.3 hat die IETF den TLS 1.2-Nachfolger standardisiert. „Bis es dazu kam, hat es wirklich lange gedauert. Denn Banken und Behörden wollten mittels Opt-in-Technik gern weiterhin Zugang zu eigentlich verschlüsselten Verbindungen haben – nur zur Fehlersuche, versteht sich. Wenig verwunderlich, dass die IETF diesen kruden Vorschlag abgelehnt hatte“, freut sich Heutger.

Das lange Warten auf den neuen Standard hat sich übrigens gelohnt: Der Verbindungsaufbau wird mit TLS 1.3 kryptographisch abgesichert. Durch die Optimierung der Kryptoalgorithmen werden über die Pakete weniger Metadaten mitgeliefert, was der Privatsphäre sehr entgegenkommt. Zudem ermöglicht Zero-Round-Trip-Time-Resumption (0-RTT) Nutzern, kürzlich schon besuchte Sites beim Reconnect zügiger aufzubauen. Neue Sicherheitsmechanismen sorgen dabei dafür, dass dieses Feature nicht von Angreifern missbraucht werden kann. Mit dem neuen Standard ist außerdem die optimierte Variante von Authenticated Encryption, AEAD, verpflichtend geworden. Damit sind Vertraulichkeit, Integrität und Authentizität von Daten sichergestellt. „TLS 1.3 verzichtet außerdem auf veraltete Technologien wie MD5, SHA-1 oder RC4. Damit sinkt das Risiko von Konfigurationsfehlern“, ergänzt Heutger und weist darauf hin, dass neben dem DSA-Signaturalgorithmus auch benutzerdefinierte DHE-Gruppen und Komprimierungen weggefallen sind. Last but not least beschränken neue Chiffre-Suiten die Verwundbarkeiten während des TLS-Handshakes: Curve25519 in ECDH sorgt für eine Beschleunigung des Schlüsselaustauschs und zu einer reduzierten Latenz.

 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.