GlobalSign Blog

01 Apr 2015

WHD Report - Sind Hosting-Unternehmen bereit für die neue SSL-Landschaft?

In der vergangenen Woche traf sich die Crème de la Crème der Hosting-Branche wieder bei den WorldHostingDays 2015 in Rust, Deutschland.

Paul van Brouwershaven, Technology Solutions Director bei GlobalSign leitete eine interaktive Sitzung über die aktuellen und kommenden Veränderungen in der SSL-Branche. Hierbei wurde eine Live-Umfrage durchgeführt, die signifikante Einblicke in die Probleme brachte, mit denen Hoster konfrontiert sind, wenn es um SSL-Sicherheit geht*.

*Hinweis: Aus Gründen der Genauigkeit wurde SSL während der gesamten Sitzung als TLS bezeichnet (der genaue Name für das heute verwendete Protokoll).

Die Bedeutung von TLS für das Hosting

Auch in diesem Jahr war Sicherheit ein wichtiges Thema während der gesamten Messe, was sich deutlich an einem Besucherrekord zu Edward Snowdens Live-Interview mit Sarah Harrison zeigte. Da Hoster eine Schlüsselrolle bei der Implementierung von Sicherheit spielen müssen, scheint TLS nach wie vor die erste Priorität für die meisten von ihnen (55%) zu bleiben.  Auf die Frage nach dem Prioritätslevel von TLS in ihrem Sicherheitsplan, wählte kein einziger der Befragten die Antwort "TLS ist der unwichtigste Punkt".

Prioritaet TLS

Top-Herausforderung: Kundenwahrnehmung

TLS ist mehr als nur ein Sicherheitsschloss. Da eine zunehmende Zahl von Websites TLS-Sicherheit standardmäßig übernehmen, wird es für Unternehmen immer wichtiger, sich zu unterscheiden, indem sie auch ihre überprüfte Identität zeigen. Mit Extended Validation SSL-Zertifikaten können sie genau das tun. Dies schafft neue Chancen für Hoster.

Wenn es aber um die Bereitstellung von Zertifikaten mit Identitätszusicherung geht, nannten Hosting-Unternehmen mangelnde Kundenwahrnehmung als ihre größte Herausforderung (64%), sowie Preis und die Zeit für die Ausstellung eines Zertifikats (36%).

EV als Standard

Wir gehen davon aus, dass Hoster in naher Zukunft mit einer steigenden Nachfrage nach dieser Art von Zertifikaten konfrontiert werden. Sie sollten sich bereitmachen, mit einer Zertifizierungsstelle zusammen zu arbeiten, die reibungslose Überprüfungsprozesse gewährleisten kann und Vertriebs- und Marketingunterstützung zur Aufklärung der Kunden bereitstellen kann.

Einstellung zu Best Practices

TLS ist mit einer ständig wachsenden Zahl von Best-Practice-Überlegungen verbunden. TLS ist nur so stark wie ihr schwächstes Glied und es ist wichtig für Administratoren nicht nur Schlüssellängen und verwendete Algorithmen zu überdenken, sondern auch ihre TLS Konfigurationen regelmäßig zu überprüfen.

TLS Konfiguration

Obwohl 70% der Befragten die Komplexität von Best Practices nicht als ein Hindernis für die Implementierung von TLS ansehen, hob Paul van Brouwershaven die Notwendigkeit hervor, mindestens eine monatliche Konfigurationsüberprüfung einzuplanen, um eine hohe Sicherheit zu gewährleisten. Schauen Sie bei Ihrer CA und Ihren Krypto-Bibliotheken, wie OpenSSL, nach Ratschlägen zu den neuesten Best Practices, Patches und Empfehlungen. Es gibt auch eine Reihe von nützlichen Tools wie den SSL Configuration Checker.

Verschlüsselung standardmäßig?

Da Browser Pläne schmieden, Nutzer vor Websites zu warnen, die keine TLS-Sicherheit bieten, wird viel darüber geredet, Verschlüsselung standardmäßig bereitzustellen, was mit Sicherheit die größte Auswirkung auf Hosting-Unternehmen und deren Infrastruktur haben wird.

Obwohl die Mehrheit der Befragten (93%) auf die standardmäßige Bereitstellung von TLS umstellen möchte, gab es ein paar Bedingungen:

TLS als Standard

Die Preisfrage sorgte für eine interessante Debatte: Kann man wirklich alles umsonst haben? Im Internet werden die meisten "kostenlosen" Dienste durch eine Auswirkung auf Privatsphäre und/oder durch Werbung bezahlt. Wenn es um TLS-Sicherheit geht, kann auch automatisierte Domain Control Validation manuelle Phishing-Kontrollen erfordern, um maximale Sicherheit zu gewährleisten. Es ist wichtig für CAs und Hosting-Unternehmen mit Geschäftsmodellen zusammenzuarbeiten, die auf ihre Herausforderungen reagieren.

Ist die Hosting-Branche also bereit? Es ist ziemlich klar, dass TLS-Sicherheit eine Priorität bleibt und Hoster sich an den Veränderungen in der Branche ausrichten, indem man TLS als Standard, Zertifikate mit Identitätszusicherung und danach zu streben, Best Practices einzuhalten, ins Auge fasst.

Es gab so viel zu diskutieren, dass wir nicht genug Zeit hatten und nicht alle Fragen beantworten konnten, die während der Sitzung eingereicht wurden. Keine Sorge, wir behandeln die beliebtesten Fragen in unserem nächsten Post. Also bleiben Sie am Ball!

Artikel teilen