GlobalSign Blog

20 Nov 2018

Was Sie im 3. Quartal verpasst haben – GlobalSigns SSL-Zertifikat-Update

Schon wieder sind drei Monate vergangen und im Bereich Infosec wurden neue Regelwerke eingeführt, es gilt neue Arten von Angriffen abzuwehren und neue Benutzererfahrungen zu bedenken. Falls es eine Branche gibt, die sich noch schneller wandelt, dann wüsste ich gerne davon!

Da Sie vermutlich viel zu tun hatten soll Ihnen der Blog einen groben Überblick über alles was Sie eventuell verpasst haben geben oder Sie an Dinge, die Sie schon wissen erinnern.

Falls ich etwas vergessen habe, schreiben Sie dies gerne in der Kommentarbox unterhalb oder auf Twitter.

PCI DSS Update

Alle Unternehmen, die sich an PCI Regeln halten müssen, müssen nun TLS 1.1 oder neuere Varianten nutzen, um den PCI Data Security Standard zu erfüllen und Zahlungsdaten zu schützen. TLS 1.0 und alle Versionen von SSL sind unter dem PCI Data Security Standard nicht erlaubt, um die Sicherheit von Kartenzahlungsdaten zu gewährleisten.

GlobalSign hat bereits im Mai 2018 die Empfehlung ausgesprochen, dass jeder wechselt, aber falls Sie es noch nicht bereits getan haben, empfehle ich Ihnen diesen Artikel zu lesen, der Ihnen verrät warum es an der Zeit ist, TLS 1.0 zu deaktivieren.

Die PCI DSS Frist, um SSL und frühe Versionen von TLS zu deaktivieren lief am 30. Juni 2018 ab. TLS 1.2 wird dringend empfohlen und GlobalSign hat all seine Systeme aktualisiert, damit wir mindestens Version TLS 1.2 anbieten können. Ab 2020 wird keiner der Browser mehr TLS 1.2. unterstützen, aber mehr Informationen dazu werden wahrscheinlich im nächsten Quartalsbericht folgen.

Mozilla hat DNS über HTTPS aktiviert

Domain Name Service (DNS), sozusagen das uralte Telefonbuch des Internets, ist schon lange im Kreuzfeuer wegen Bedenken zu Datenschutz und Sicherheit. Firefox versucht dies zu ändern indem es „DNS Abfragen verschlüsselt“.

Jedes Mal, wenn Sie einen Link klicken, eine E-Mail schicken oder eine Adresse in der Adresszeile eingeben, gleicht Ihr Computer den Domainnamen mit der zugehörigen IP-Adresse ab. Sobald er die Adresse gefunden hat schickt der DNS Resolver die Informationen an Ihren Browser, damit dieser die Dateien abfragen kann. Dies passiert in Millisekunden und kann mehrere Male auf einer einzelnen Seite ablaufen, wenn mehrere Links eingebettet sind. Auch wenn das tolle HTTPS-Protokoll alles auf der Seite verschlüsselt, so bleibt der DNS Lookup außen vor und das bedeutet, dass Ihr Webseitenverlauf nachverfolgt werden kann.

Einige ISP Anbieter verkaufen diese Informationen für gezielte Werbeaktivitäten weiter, weswegen Firefox daran arbeitet den DNS zu verschlüsseln. Dies wird „DNS über HTTPS“ oder „das DoH Protokoll“ genannt. DoH wurde schon in Firefox 62 hinzugefügt. Eine gute Erklärung was DoH ist finden Sie hier.

Chromium News

Chrome 68 – HTTP ist jetzt „Nicht sicher”

Jetzt ist es offiziell. Den Tag den wir seit über einem Jahr herbeigeschworen haben ist hier. Der Tag der Rechenschaft vielleicht? Soweit wir dies erkennen können ist das Internet weiterhin vollständig intakt.

Hier ist eine Erinnerung aus einem alten Chromium Blogpost:

Treatment of HTTP pages

Nach dieser Ankündigung wurde im Oktober Chrome 70 veröffentlicht, in dem ein roter ‚Nicht sicher’ Warnhinweis vor Dateneingabe auf HTTP-Seiten warnt.

Symantec Root-Misstrauensverfahren ist abgeschlossen

symantec legacy error

In Chrome 70 wird auch die finale Phase des Misstrauens von Chrome gegenüber Symantecs Root-Zertifikaten abgeschlossen. Ab 16. Oktober wird es dort komplett entfernt und ab 23. Oktober in Firefox. Es wurde jedoch bestätigt, dass das Datum weiter nach hinten verschoben wird, weil viele Domains immer noch die Symantec-Root nutzen. Obwohl Chrome 70 die Misstrauenslogik enthält, findet die Umsetzung in Phasen statt und Benutzer werden das Misstrauen nicht alle zum gleichen Zeitpunkt sehen.

percentage of symantec regressions

Quelle.

Domainbesitzer müssen zu dieser Jahreszeit normalerweise auf Vieles achten, deshalb empfehlen wir, dass die Sicherheitsexperten Verantwortung übernehmen und die Neuerungen teilen.

Eine Studie von Netcraft kam zu dem Schluss, dass 254.000 Zertifikate immer noch die Symantec-Root nutzen und ca. 8.000 davon kann man zu den „hochrangigen Seiten“ zählen. Zu den Beispielen in der Recherche zählen unter anderen learningnetwork.cisco.com und okex.com, die beliebte digitale Währungswechselseite.

your connection is not private error

Chrome versucht ‚WWW’ zu entfernen

Eine interessante Änderung von Chrome kam im 68 Update, in dem das ‚www‘ aus den Domains gestrichen wurde. Falls Sie die News noch nicht gehört haben – sie mussten es schnell wieder rückgängig machen, weil die Community sich darüber in Scharen auf dem Chromium Blog beschwert hat. Ich möchte ein paar meiner Lieblingskommentare hier vorstellen.

Kommentar 2 von earl.thu...@gmail.com, 6. September

Was für eine dumme Änderung. Keine der Teile einer Domain sollte als unbedeutend abgestempelt werden. Als ISP müssen wir oft viel Zeit damit verbringen Benutzern beizubringen, dass ‚www.domain.com‘ und ‚domain.com‘ zwei verschiedene Domains sind und sie nicht zwingend zum gleichen Ziel führen. Marketing hat schon viel Schaden angerichtet, indem es Leute davon überzeugt hat, dass ‚www‘ sowohl allgegenwärtig als auch unwesentlich ist. In der Tat ist der Zusatz oder der fehlende Zusatz für manche Domains sehr wichtig, um zum richtigen Ziel zu gelangen.

Kommentar 40 von fer...@gmail.com, 6. September

Hier ist ein weiteres Beispiel, das zeigt, dass es ziemlich schiefläuft. Die Seite  "www.m.www.m.example.com" sollte nicht als "example.com" angezeigt werden.

Sehr enttäuscht von dieser Änderung.

Kommentar 32 von alf...@nurd.nu, 6. September

Ich finde dieser Artikel auf Wired gibt einen Einblick in diese Änderung: https://www.wired.com/story/google-wants-to-kill-the-url

Es werden uneigennützige Gründe vorgeschoben, aber die Unternehmensziele der Suchmaschine sind klar zu erkennen: den URL zu beseitigen. Dies ist wahrscheinlich nur ein erster kleiner Schritt um die Wichtigkeit/das Vertrauen von URLs zu reduzieren.

Globale Regierungen entscheiden sich für Sicherheit

Es sieht so aus als ob das United States Department of Defence (DoD) sich vor kurzem darauf festgelegt hat HTTPS und HSTS auf allen öffentlichen Websites, sowie STARTTLS und DMARC für alle E-Mail-Server zu nutzen. Zum Zeitpunkt der Netcraft Untersuchung hat das DoD hauptsächlich interne CA-Zertifikate genutzt, die kein öffentliches Vertrauen genießen und bei Besuch der Domains wären Warnhinweise erschienen. Im August fand die Netcraftumfrage heraus, dass 3.137 .gov-Websites gültige und vertrauenswürdige Zertifikate haben, einschließlich whitehouse.gov. Weitere 51 .mil Websites haben gültige vertrauenswürdige Zertifikate.

TLS 1.3 vollständig veröffentlicht

Wie schon in einem vorherigen Updateblog erwähnt hat das IEFT am 29. Juni einen Entwurf von TLS 1.3 vorgelegt. Die finale Version wurde am 10. August offiziell veröffentlicht und ist in RFC 8446 definiert.

Cloudflare erklärt auf seinem Blog, dass TLS 1.3 entwickelt wurde um Vorgängerprotokolle um die folgenden Punkte zu ergänzen:

  • die Wartezeit während des Handshakes reduzieren,
  • mehr Elemente des Handshakes verschlüsseln,
  • die Widerstandsfähigkeit bei Cross-Protokoll-Angriffen verbessern und
  • alte Eigenschaften entfernen.

Die Annahme von TLS 1.3 ist noch andauernd. Viele Kryptografie-Bibliotheken sind schon auf dem aktuellen Stand, aber nur ein paar, wie OpenSSL und NSS unterstützen derzeit die finale Version. Eine interessante Bibliothek ist die neue Open Source TLS 1.3 Bibliothek von Facebook, auch bekannt unter dem Namen Fizz. Facebook hat diese vor kurzem weltweit veröffentlicht, aber es schon seit geraumer Zeit in mobilen Apps genutzt, um Leistungen zu verbessern.

Von den großen Browsern unterstützen im Moment nur Chrome und Mozilla TLS 1.3 als Standard. Die Unterstützung in Edge, Safari und Opera ist derzeit noch in Entwicklung.

Kurz bevor sie TLS 1.3 herausgebracht haben, hat IEFT im Juli einen Entwurf veröffentlicht, der die Abwertung von TLS 1.0 und 1.1 ankündigt.

Weitere News

Apple kündigt Certificate Transparency an

Alle öffentlich vertrauenswürdigen Zertifikate die nach dem 15. Oktober 2018 ausgestellt wurden benötigen Certificate Transparency damit sie im Apple Root Store als vertrauenswürdig eingestuft werden. Zertifikate, die dies nicht erfüllen werden einen Warnhinweis mit den Worten „fehlgeschlagene TLS Verbindung“ anzeigen, die die Verbindung einer App zum Internet unterbricht.

Microsoft Edge

Microsoft Edge war der letzte der drei großen Browser, der die Upgrade-Insecure-Requests Content Security Policy umgesetzt hat, mit der der Browser gezwungen wird die sicherere https:// Version zu zeigen, falls jemand nach http:// sucht. Es wird empfohlen dies im Response Header hinzuzufügen. Erfahren Sie mehr dazu in diesem Blog von Troy Hunt, in dem er Edges Response Header unter die Lupe nimmt.

Cloudflare setzt verschlüsseltes SNI ein

Am 24. September 2018 hat Cloudface angekündigt, dass es verschlüsseltes SNI unterstützen wird. Dies sind große Neuigkeiten in der Kryptografiewelt, weil ein für alle Mal der erste Teil des Serverhandshakes endlich verschlüsselt ist. Zuvor konnte jeder Beobachter (z.B. ISP, Firewall oder WLan-Besitzer) Ihre Plaintext ClientHello Nachricht abfangen und so herausfinden mit welcher Website sich Ihr Client verbinden wollte. Dies kann zu Man-in-the-Middle-Angriffen führen oder später zu einer Reihe an nervigen gezielten Werbeanzeigen.

encrypted SNI

Ein sicheres Internet?

Es ist klar, dass 2018 das Jahr ist in der die Sicherheit-Community sich zusammengeschlossen hat, um große Lücken in der Internetsicherheit zu schließen. Ob alle Ideen auch einen Schritt vorwärts bedeuten, darüber lässt sich streiten. Aber es ist klar, dass die Public Key Infrastruktur überholt wird und wir uns zu sichereren Protokollen hinbewegen. Ja sogar sicherere Handshakes, dank Cloudflare. Freuen Sie sich auf die letzten drei Monate in diesem Jahr.

Artikel teilen