GlobalSign Blog

26 Aug 2014

SSL-Zertifikate nutzen und IPv4-Adressen einsparen, Teil 1

Die Diskussionen flammen immer wieder mit unterschiedlicher Intensität auf: Es geht um die wahlweise erwartete, kommende oder bereits eingetretene Knappheit im IPv4-Adressenraum.

So war es beispielsweise im Mai dieses Jahres in einem Beitrag von Jürgen Hill in der Computerwoche zu lesen. Sind die IPv4-Adressen vielleicht doch nicht so knapp wie vielfach angenommen? Ganz so ist es nicht, und wie der Autor konstatiert, hat das durchaus mit der restriktiv gehandhabten Vergabepolitik zu tun. Zudem werden inzwischen nicht mehr benötigte Adressen verstärkt zurückgegeben, sozusagen „recycelt“ und Provider sind verstärkt dazu übergegangen in internen Netzen nur private und nicht öffentliche IP-Adressen zu verwenden. Verbunden mit Fragen nach mehr Sicherheit führt uns das zum Kern des Problems beziehungsweise des Problembewusstseins bei etlichen Hosting-Unternehmen auch in Europa.

Mehr Sicherheit bei weniger IP-Adressen?

Gerade Hosting-Unternehmen haben inzwischen zu spüren bekommen, dass die Kosten mit der steigenden Zahl zu verwaltender IP-Adressen ebenfalls deutlich in Höhe gehen. Dazu kommen hochkomplexe Sicherheitsanforderungen. Die Richtlinien des European Data Protection Act (Artikel 13) und der PCI-Standard schreiben ohnehin seit längerem vor, SSL in bestimmten Bereichen zwingend einzusetzen. Im letzten Jahr hat dann auch Facebook seine Entwickler angewiesen, sämtliche Applikationen so zu konzipieren, dass sie über SSL kommunizieren können.

Inzwischen ist es eher die Regel, SSL-Zertifikate einzusetzen und nicht mehr die Ausnahme. In Sachen Datenschutz ist das eine begrüßenswerte Entwicklung. Was die Zahl der zur Verfügung stehenden IP-Adressen anbelangt hat sie allerdings ein paar Herausforderungen im Gepäck.

Das klassische Dilemma eines Providers sieht oft so aus: Er hat auf der einen Seite einen Kunden, der ein SSL-Zertifikat einsetzen möchte und auf der anderen Seite einen Kunden, der einen kompletten Server braucht. Beide Produkte benötigen ihre jeweils eigenen IP-Adressen. Aber: einen oder mehrere Server zu hosten ist nun Mal das Kerngeschäft eines Providers und generiert die entsprechenden Umsätze. Ist die Anfrage des Kunden nach einem SSL-Zertifikat deswegen weniger wichtig? Sicher nicht.

Warum namensbasierte virtuelle Hosts nicht mit SSL funktionieren

Mit dem explosiven Wachstum des Internets werden inzwischen mehrere Sites über eine IP-Adresse gehostet und nicht mehr wie in den Anfangstagen über jeweils eine eigene IP-Adresse. Diese Methode ist allgemein als namensbasiertes virtuelles Hosting bekannt. Warum man SSL in diesem Kontext nicht verwenden kann, lässt sich relativ leicht beantworten.

Die Verbindung eines Browsers zu einem Server findet nie direkt über den Domänennamen statt. Der stellt lediglich eine Methode dar, um sich die IP-Adresse leichter zu merken. Der Browser stellt eine Verbindung zur IP-Adresse her. Zu diesem Zeitpunkt weiß er noch nicht welche Site-Anforderung dahinter steht. Diese Information ist im „Host“-Header, den der Browser über die erstellte Verbindung an den Server schickt, verbindlich festgelegt,.

Verwendet man SSL-Zertifikate läuft die komplette Kommunikation zwischen Browser und Server verschlüsselt ab, so dass sie für Dritte nicht zugänglich ist und die übertragenen Informationen geschützt sind. Das betrifft auch den „Host“-Header der beim namensbasierten virtuellen Hosting die betreffende Webseitenverbindung bestimmt.

Die Frage, die sich logisch anschließt: Können diese Daten entschlüsselt werden, bevor der Webserver sich den „Host“-Header ansieht? Allerdings: Jede Seite hat ihr eigenes SSL-Zertifikat und die verschlüsselt übertragenen Informationen können nur mit Hilfe des zugehörigen Zertifikats wieder entschlüsselt werden. Wenn wie hier mehrere Websites über eine IP-Adresse gehostet werden, hat der Server schlicht keine Ahnung welches der Zertifikate er in einem bestimmten Fall benutzen soll.

Inwieweit die sogenannte Server Name Indication, kurz SNI, eine Lösung sein könnte, und welche Vorteile es hat, sie mit Multi-Domain-Zertifikaten zu kombinieren, damit beschäftigen wir uns im zweiten Teil dieses Blog Posts.

Artikel teilen