igor - Fotolia

Die vier wichtigsten Best Practices für SSL-Sicherheit

Die Liste der Praxisratschläge für mehr SSL-Sicherheit ist länger. Es gibt allerdings einige Best Practices, die besonders wichtig sind.

Sicherheitslücken wie Heartbleed, POODLE und FREAK machen der Welt zunehmend bewusst, wie wichtig eine gute Sicherheitshygiene für die gesamte Kommunikationsinfrastruktur ist. Nie wurde die Sicherheit des SSL- (Secure Socket Layer) und TLS-Protokolls (Transport Layer Security) so vielfachen Überprüfungen unterzogen wie heute. Dieses Interesse lässt sich bis 2008 zurückverfolgen, wobei nichts darauf hindeutet, dass es abflaut. Allerdings liegt der Hauptfokus hier auf Sicherheitslücken in den Protokollen, während die meisten Unternehmen nicht erkennen, dass in der Praxis ihre eigenen Handlungsweisen das größere Problem sind.

Die Mehrheit der Unternehmen nutzt – so scheint es – Spreadsheets, um den Überblick über ihre Zertifikate zu behalten. Die Bedeutung sicherer Server wird nur herausgestellt, wenn eine gravierende Schwachstelle entdeckt und veröffentlicht wird. Ansonsten wird wenig getan, um die heute verfügbaren Sicherheitsmechanismen optimal zu nutzen. Den System-Administratoren kann hierbei nicht wirklich die Schuld geben werden: TLS ist notorisch flexibel und die Konfiguration dieses Protokolls erfordert sehr viel Zeit und Mühe. Außerdem haben Entscheidungen auf der Anwendungsebene oft negative Auswirkungen auf die Sicherheit von Servern, die ansonsten richtig konfiguriert sind.

Die Liste der Best Practices für SSL-Sicherheit ist länger, im Lauf der Zeit hat sich jedoch herauskristallisiert, dass es eine kleine Anzahl besonders wichtiger Dinge gibt, die unbedingt richtig gemacht werden müssen. Aus dem Übersichtsdokument SSL/TLS Deployment Best Practices des Qualys SSL Lab stammen die folgenden wichtigsten Ratschläge.

Verschlüsselung der gesamten Unternehmenswebsite

Unternehmen, die nur auf einem Teil ihrer Website Verschlüsselung einsetzen, halten Hackern somit eine Riesenlücke offen, die diese ausnutzen können. Mit so genannten SSL-Stripping-Angriffen können Netzwerkangreifer die Kontrolle über eine unverschlüsselte Benutzersitzung übernehmen und während ihrer ganzen Dauer verhindern, dass der Benutzer auf gesicherte Seiten geleitet wird. Bei vollständiger Verschlüsselung haben Netzwerkangreifer dagegen keine Chance, auf diese Weise zuzuschlagen.

Fast genauso wichtig ist die Anwendung des neuen Standards HTTP Strict Transport Security, der sicherstellt, dass die Browser der Nutzer nie versuchen, eine ungesicherte Verbindung zu wählen – selbst wenn gewitzte Angreifer sie dazu verleiten wollen.

Implementierung moderner Protokolle und Cipher Suites

Hat ein Unternehmen seine Server seit mehreren Jahren nicht mehr umfassend gewartet, bedeutet das zwar nicht automatisch, dass sie unsicher geworden sind; mit großer Wahrscheinlichkeit verwenden sie jedoch veraltete Sicherheitsprotokolle. In diesem Fall sollte schnellstmöglich auf neue Sicherheitsmechanismen wie TLS 1.2, Forward Secrecy und Verschlüsselung mit Authentifizierung umgestiegen werden. Alte Mechanismen wie etwa SSL 2, SSL 3, RSA-Schlüsselaustausch, Chiffren im CBC-Modus und RC4 sind abzuschalten. Außerdem wird die SSL-Konfiguration heutzutage oft als Indikator für den Sicherheitsstatus von Systemen genutzt. Das ist ein weiterer Grund für Unternehmen, jetzt aufzurüsten und zu zeigen, dass die interne Sicherheitsabwehr Beständigkeit hat.

Ausmustern vorhandener SHA1-Zertifikate

Das PKI-Ökosystem ist derzeit dabei, sich von den schwachen SHA1-Zertifikaten zu verabschieden. Die Übergangsfrist läuft zwar noch bis Ende 2016, doch langfristige SHA1-Zertifikate können schon heute Browserwarnungen verursachen. Verwendet ein Unternehmen SHA1-Zertifikate, die 2016 oder später auslaufen, sollte es diese ab sofort durch SHA256-Zertifikate ersetzen. Besteht hierdurch allerdings die Befürchtung Teile der Benutzerbasis auszuschließen, ist alternativ die Weiterverwendung von SHA1 ratsam – allerdings mit Zertifikaten, die 2015 ablaufen.

Überwachen der Unternehmenswebsite und Beheben bekannter Probleme

Nichts bleibt immer vollständig sicher. Selbst wenn Unternehmen heute umfassenden Sicherheitsschutz betreiben, könnte eine neu bekannt gegebene Schwachstelle schon morgen ihre Sicherheit gefährden.

Ivan Ristic, Qualys

Diesem Problem kann nur begegnet werden, indem Unternehmen ihre Sicherheitsaufstellung laufend überwachen und prompt reagieren, wenn Veränderungen entdeckt werden.

Dazu gibt es kostenlose und kommerzielle Bewertungs-Tools für SSL sowie zur Serverüberprüfung.Diese zeigen nicht nur potenzielle Sicherheitslücken auf, sondern auch Probleme, die die Verfügbarkeit von Unternehmenswebsites beeinträchtigen können.

Qualys stellt beispielsweise eine kostenlose API zur Verfügung, die das automatisierte Scannen zahlreicher Server ermöglicht.

Über den Autor:
Ivan Ristic ist Sicherheitsexperte, Ingenieur und Autor. Bekannt ist er vor allem für seine Beiträge im Bereich von Web Application Firewalls sowie zur Entwicklung der ModSecurity, einer Open Source Web Application Firewall. Er ist Leiter des SSL Labs von Qualys, auf dessen Webseite er regelmäßig Forschungen, Tools und Guides zu SSL/TLS und PKI publiziert. SSL Labs (www.ssllabs.com) dient als Forschungszentrum für SSL, TLS und Internet PKI mit dem Ziel zu verstehen, wie diese Technologien weltweit eingesetzt werden. Es stellt Werkzeuge und Dokumentationen bereit, die jedem helfen sollen, die Technologien optimal zu nutzen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Oktober 2015 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close