GlobalSign Blog

11 Jul 2016

Die aktuellen Trends des Sommers rund um Ihre SSL/TLS Zertifikate

Für viele von uns stehen die Sommerferien unmittelbar bevor – wir freuen uns auf Pina Colada Cocktails und ein gutes Buch am Strand – aber die Sommerferien bedeuten auch, dass Sie Ihre Systeme auf den aktuellen Stand bringen müssen, bevor es losgehen kann.

Um Ihnen die Vorbereitungen dieses Jahr zu erleichtern haben wir eine Sicherheits-Checkliste zusammengestellt, die Ihnen bei den ausstehenden Aufgaben vor dem Urlaub hilft. Außerdem haben wir eine Liste der aktuellen Browser-Änderungen zusammengefasst, die Trends des letzten Netcraft-Berichts und ein paar der neuesten Schwachstellen, die Ihre Sicherheit beeinträchtigen könnten.

SSL/TLS Checkliste für Ihren Sommer

  • Prüfen Sie ob Zertifikate bald ablaufen
  • Prüfen Sie ob alle Verschlüsselungen, Server-Konfigurationen und Hashing Algorithmen der Zertifikate auf dem neuesten Stand und sicher sind. Unser SSL Server Test hilft Ihnen dabei.
  • Geben Sie Ihrer Vertretung klare Anweisungen, wie bei Notfällen zu reagieren ist.
  • Vergewissern Sie sich, dass Sie alle Schwachstellen in Ihrem Netzwerk kennen und IT diese so schnell wie möglich zu beheben plant.

Die Kosten von abgelaufenen Zertifikaten

Das Erste und wahrscheinlich Häufigste, was man vergisst, bevor man sich für längere Zeit in den Urlaub verabschiedet, ist zu prüfen, ob TLS Zertifikate erneuert werden müssen. Falls Sie keine APIs oder andere automatisierte Systeme zur Zertifikatsbereitstellung nutzen, werden TLS Zertifikate nicht automatisch erneuert. Sie haben ein bestimmtes Ablaufdatum und falls Sie das Zertifikat nicht erneuern, können Website-Besucher die gesicherten Seiten Ihrer Website nicht abrufen.

Da dies häufig vorkommt, möchten wir Sie daran erinnern, was die Folgen eines abgelaufenen Zertifikats sind und was passiert, wenn ein Benutzer sich nicht sicher mit Ihrer Website verbinden kann.

Wenn Benutzer nicht sicher mit Ihrer Website verbunden werden können, folgt daraus:

  • Weniger Vertrauen, weil Ihre Website unsicher ist.
  • Weniger Absatz und Umsatz, da Besucher Ihre virtuellen Einkaufskörbe ohne Bezahlen zurücklassen.
  • Ein Risiko von negativen Auswirkungen auf die Unternehmensmarke und den Unternehmensruf.

SHA-1 Upgrade

Falls Sie es nicht schon getan haben, ist jetzt der richtige Zeitpunkt, um Ihr Zertifikat auf den SHA-256 Hashing Algorithmus umzustellen. CAs dürfen keine SHA-1 TLS Zertifikate mehr ausstellen. Wenn Sie Ihr Zertifikat erneuern, werden Sie also gezwungenermaßen auf SHA-2 umgestellt. Da aber manche alten Systeme keine SHA-2 Zertifikate anerkennen, ist es wichtig, dass Sie im Voraus die Umstellung planen, bevor Ihr SHA-1 Zertifikat abläuft. Mehr Informationen dazu finden Sie in unserem Support-Portal zu SHA-256 Kompatibilität.

Browser stufen unsere Benutzererfahrung (UX) kontinuierlich herunter, sobald eine Website SHA-1 Zertifikate nutzt. Zum Beispiel wird ein rotes ‚X‘ über dem Schlosssymbol gezeigt oder gar kein Schloss. Falls Ihr SHA-1 Zertifikat nach 2017 abläuft muss man Warnhinweise bestätigen, bevor man überhaupt auf die Seite zugreifen kann. Die UX wird kontinuierlich weiterverändert und mehr und mehr Browser Versionen (z.B. plant Microsoft die UX für Edge und IE11 ab Juli herunterzustufen) werden hinzugefügt. Wir empfehlen deshalb auf SHA-2 umzusteigen, um keine Website-Besucher zu verlieren.

OCSP Stapling

Mit dem Einsatz von OCSP Stapling können Sie Ihre Benutzererfahrung verbessern. Die meisten Web-Server unterstützen die Technologie. Dabei sendet der Server während der TLS Session eine OCSP Antwort an den Browser, anstatt dass der Browser diese vom OCSP-Server der CA abfragen muss. Die Performance der Website wird verbessert, indem die zusätzliche Server-Abfrage beim TLS Austausch entfällt.

So halten Sie Ihre Server-Konfigurationen auf dem aktuellen Stand

Nun da Sie auf Ihren Sommerurlaub vorbereitet sind, macht es Sinn sich die aktuellen Ankündigungen anzusehen. Sie müssen deswegen wohl nicht Ihren Urlaub abbrechen, aber es hilft durchaus die Trends im Auge zu behalten und Ihre IT-Abteilung davor zu informieren, für den Fall, dass die Server-Konfigurationen angepasst werden müssen. Ihre Server-Konfigurationen können Sie mit unserem SSL Server Test Tool prüfen.

OpenSSL Schwachstellen

OpenSSL ist weiterhin anfällig für neue Angriffe, einschließlich dem jüngsten Padding Oracle Angriff und die Schwachstelle, die den Speicher des ASN.1 (Abstrakte Syntaxnotation Eins) Encoder verfälscht.
Netcraft schränkt im Juni 2016 Überblick zwar ein, dass die ASN.1 Schwachstelle „nur in einer beschränkten Anzahl von Fällen ausgenutzt werden kann“, aber es ist bekannt, dass zumindest die Padding Oracle Schwachstelle leicht ausgenutzt werden kann. Falls Sie keinen definierten Prozess zur Behebung von OpenSSL Schwachstellen haben, ist jetzt der richtige Zeitpunkt diesen zu aktualisieren und Maßnahmen einzuführen, um in Zukunft schnell auf Schwachstellen reagieren zu können.

Google stellt Support für SPDY und NPN ein

Google aktualisiert seine Plattform ständig um sicheres Internet zu fördern. Es lohnt sich ein paar der Updates genauer anzusehen:

  • SPDY ist ein Netzwerk-Protokoll mit dem HTTP-Traffic so abgewandelt wird, dass Ladezeiten verringert werden und die Web-Sicherheit verbessert wird. Dank HTTP/2 wird Google den Support für SPDY einstellen.
  • NPN war die TLS-Erweiterung mit der SPDY HTTP/2 bewältigt hat. NPN wurde im Juli 2014 von ALPN abgelöst, und wird jetzt zusammen mit SPDY eingestellt.

Falls Sie diese Updates nicht ausführen, kann dies zu längeren Ladezeiten Ihrer Website führen.

Google stellt Support für SSLv3 und RC4 ein

Dazu muss nicht mehr viel gesagt werden. Beide Verschlüsselungen sind überholt und sollten aus Ihren Server-Konfigurationen entfernt werden. Denken Sie auch an alle anderen Systeme, die diese Verschlüsselung eventuell noch verwenden, wie z.B. solche die SMTP Relay und E-mail Dienste von Drittanbietern nutzen. Bevor Sie Ihre Server-Konfigurationen ändern sollten Sie diese Systeme aktualisieren. Auch hier können Sie wieder unseren SSL Server Test nutzen.

Darauf sollten Sie außerdem achten

Auch wenn es nicht ganz so wichtig ist, wenn Sie nur einen Urlaub planen, sollten Sie auch die aktuellen News im Auge behalten. Hier sind die Hauptpunkte die im CA/B Forum Meeting am 9. Juni 2016 besprochen wurden:

  1. Chrome 52-53 soll eine neue Benutzeroberfläche erhalten. Dies ist im Einklang mit anderen Google Änderungen und das Schlosssymbol wird sich im Zuge dessen im Aussehen verändern.
  2. Seit Chrome 49 war Chrome Keygen schon standardmäßig deaktiviert, und wird nun in Zukunft vollständig verschwinden.
  3. Microsoft führt zwei neue Eigenschaften ein, die in Windows 10 oder späteren Versionen Probleme der Root beheben:
    • Entfernung von Mozilla Root: Roots werden nun alle in Salesforce verfolgt und öffentliche Daten. Jeder sollte in der Lage sein diese selbst zu finden.
    • EKUs nicht zugelassen – Wenn dies für eine Root eingestellt wird, wird keiner der identifizierten EKUs mehr vertraut. Falls dies zum Beispiel für ServerAuth aktiviert ist, dann wird keinem SSL Zertifikat mehr vertraut.
  1. Entfernung von Mozilla Root: Roots werden nun alle in Salesforce verfolgt und öffentliche Daten. Jeder sollte in der Lage sein diese selbst zu finden.
  2. Google Chrome hat kürzlich die EV Certificate Transparency Policy vorgestellt, die nun für alle Arten von Zertifikaten gilt. EV Zertifikate die den Empfehlungen nicht entsprechen zeigen keine grüne Adresszeile im Browser mehr an. Wir sind im Moment noch nicht ganz sicher, wie die Nichterfüllung bei den anderen Arten von Zertifikaten angezeigt wird.

Damit Sie sicher durch den Sommer kommen, sollten Sie jetzt etwas Zeit investieren. Falls Sie Fragen zum Blog haben, freuen wir uns über Ihre Kommentare unter diesem Blog. Wir beantworten diese so schnell wie möglich.

von Lea Toms

Artikel teilen