Controlling 21

Dr. J. Schuhmacher

vg

Sicherheit im Internet mit HTTPS, Secure Socket Layer, SSL, TLS

In allgemeinen Fachkreisen bereits seit vielen Jahren im Gespräch wurde HTTPS 2017 zum Trend in Deutschland. Da in den weitgehend unkritischen deutschen Medien fast ausschließlich die Befürworter Redefreiheit erhalten, wird hier diese ganze Sache auch kritisch betrachtet, und die konkreten Bedenken anderer Sicherheitsexperten aus der ganzen Welt kommen zu Wort. Dabei werden unverhofft zahlreiche Haken und Ösen sichtbar.

Ein Inhaltsverzeichnis mit direkten Sprungmarken und Überblick über alle bei Sicherheit im Internet mit HTTPS, Secure Socket Layer, SSL, TLS behandelten Themenbereiche finden Sie als Pop-Up.

Schwarz-Weiß-Malerei

Unsichere Geschichte

Um die Vor- und Nachteile von HTTPS bewerten zu können, muss man zuerst einen kurzen Blick auf die Geschichte des Internets werfen.

Anfänge

Fazit

Das darauf-gesattelte HTTP

Grundlegende Probleme des Internets

Lassen Sie uns zuerst einen Blick auf die allgemeinen Sicherheitsprobleme des Internets werfen, damit Sie die Details bei HTTPS besser verstehen.

Schichten, Module, Protokolle

Spielverderber

Faktor Mensch

Spielregeln verstehen, ausnutzen und ändern

HTTPS im Detail

Nachdem deutlich wurde, wie unsicher das gesamte Internet systembedingt ist, lassen Sie uns nun einen Blick auf HTTPS im Einzelnen werfen.

Sicherheitsdeckel oben drauf oder Tunnel darunter

Verschlüsselung

Zertifizierung

Wenn Sie kurz innehalten und diese Punkte durchdenken, dann fällt Ihnen sicher selbst auf, wo man überall betrügerisch ansetzen kann.

Systembedingte Risiken innerhalb von HTTPS

Systembedingt finden sich zwei Hauptrisiken:

  1. die Verschlüsselung
  2. das Zertifikatsystem

Seit spätestens 2013 ist bekannt, dass Sicherheitsdienste an beiden Stellen ansetzen, um jede HTTPS-Verbindung in Echtzeit (während Sie als Nutzer diese verwenden) zu entschlüsseln.

Vorteile des HTTPS

Falls alle Beteiligten alles korrekt abgewickelt haben und in allen Komponenten alles optimal installiert und konfiguriert wurde, dann bietet HTTPS folgende Vorteile:

Der Verbindungsaufbau mit HTTPS über SSL

So funktioniert (stark vereinfacht) der HTTPS-Datenaustausch zwischen Browser und Server:

  1. Ein Nutzer versucht, mit seinem Browser eine Verbindung zu einem mit HTTPS gesicherten Internet-Auftritt herzustellen. Für jede HTTP-Verbindung benötigt man bei HTTP/1.1 jedoch noch eine separate TCP-Verbindung, die erst ausgehandelt werden muss. Dazu sind in der Startphase bereits mindesten zwei Kontakte erforderlich. Diese Roundtrip-Time (RTT) kann man mit Ping messen.
  2. Dann fordert der Browser für SSL / TLS die Identität des Servers an.
  3. Der Server sendet daraufhin eine Kopie seines Zertifikats an den Browser.
  4. Der Browser überprüft, ob das Zertifikat laut seinen eigenen (intern gespeicherten) Regeln korrekt ist. Um die Gültigkeit des Zertifikats zu überprüfen, nimmt der Browser jedoch meist Kontakt mit dem Verzeichnisdienst der angegebenen Zertifizierungsstelle auf, die eine Liste der ausgegebenen, gültigen digitalen Zertifikate sowie eine Sperrliste der verfallenen, ungültigen Zertifikate vorhält.
  5. Bei kleinsten Fehlern muss alles neu erfolgen. D.h. nicht selten kommt es zu mehreren Zyklen der Kontaktaufnahme.
  6. Falls alles korrekt ist, sendet die Zertifizierungsstelle eine Nachricht an den Browser zurück.
  7. Dann erzeugt der Browser (Client) einen eigenen symmetrischen Schlüssel, verschlüsselt ihn mit dem öffentlichen Schlüssel des Servers (Anbieters, besuchten Internet-Auftritts) und schickt diesen an den Server.
  8. Daraufhin entschlüsselt der Server mit seinem privaten Schlüssel den ihm zugesandten neuen symmetrischen Schlüssel des Browsers (Client, Nutzers) und verwendet ihn für seine Verschlüsselung aller weiteren Kommunikation.
  9. Erst danach beginnen Browser und Server damit, symmetrisch verschlüsselte Daten auszutauschen. Denn nur mit der symmetrischen Verschlüsselung lassen sich halbwegs erträgliche Lasten und Zeitverzögerungen erzielen.

Zeitverzögerung und Lastprobleme = Generelle Nachteile für den Betreiber und Anwender

Die Nachteile relativieren sich langsam. Aber sie entfallen nicht - nie! Ganz im Gegenteil nimmt der Aufwand mit jeder noch besseren Verschlüsselungsmethode deutlich zu.

Technische Detailprobleme bei HTTPS

SSL / TLS resp. HTTPS schützen nur den Verbindungsweg:

Für die Nutzer kommen weitere Tücken hinzu:

Selbsttäuschung - Übersehene Risiken

Betreiber und Kunden wiegen sich in völlig unbegründeter Sicherheit bezüglich HTTPS:

Festzuhalten bleibt, dass man das völlig unsichere Gesamtsystem Internet nicht einfach dadurch sicher machen kann, indem man oben drauf oder irgendwie daran ein sicheres Modul (SSL / TLS / HTTPS) befestigt.

Fazit

Keine höhere Seriosität

Erstaunlicher Weise verwechseln viele Menschen vor allem in Deutschland das S in HTTPS mit seriös.

Selbst wenn alles an und rund um HTTPS funktioniert, ist das folgende immer wieder Aufzufindende zu beachten:

Letztendlich nützt den Nutzern das S in HTTPS wenig. Die Seriosität aller Inhalte muss man weiterhin selbst überprüfen. Mit anderen Worten das S darf nicht dazu führen, dass man irgendjemandem vertraut. Schalten Sie weiterhin Ihren Verstand ein.

Somit bleibt auch alles rund um HTTPS eine Vertrauenssache / Glaubensfrage - so wie der Rest des Internets auch.

Folgen für die Nutzer - Praxis-Tipps für Browser-Benutzer / Endanwender

Hier erfahren Sie, wie Sie mit HTTPS die höchste Sicherheitsstufe erhalten:

Relative Sicherheit

Umstellen oder abwarten

Was soll ich als Internet-Anbieter nun tun?

Ziele der Akteure

Es hat seine Gründe, warum seit Jahren weltweit Milliarden von Euro investiert werden, um alle Anbieter und Anwender zu HTTPS zu zwingen:

Vorsätzliche Falschaussagen

Viele Akteure schrecken auch vor gezielten Falschinformationen nicht zurück.

Folgen / die Zukunft

Dennoch handelt es sich bei HTTPS um einen weltweiten Trend, dem man sich nicht beliebig lange entziehen kann.

Bereits heute existierende Nachteile

Absenken des Angst- und Panik-Niveaus

Aus jahrzehntelanger eigener Praxiserfahrung im Internet:

Stellen Sie sich wirklich einmal anhand Ihres täglichen Arbeitsablaufes die konkrete Frage, was HTTPS für Ihre Sicherheit erbringt?
Z.B. hätte ich als IT-Experte, der sich seit Jahrzehnten berufsbedingt wirklich wesentlich größeren Gefahren im Internet aussetzt als jeder Normalbürger, keinen einzigen der mir entstandenen Betrugsschäden (weder als Anbieter noch als Kunde), noch auch nur einen der Virenschäden durch HTTPS verhindern können. Auch alle anderen Schäden, wie Einbruch, Festplattenausfall, Überhitzen der Grafikkarte, Datenverlust, Soft- und Hardware-Probleme, hatten und haben nichts mit HTTPS zu tun. Punkt.

Handlungszwang?

Für wen und wofür lohnt sich HTTPS?

Auch auf die Gefahr hin, heftige Kritik zu von Seiten der fanatischen HTTPS-Anhänger zu erhalten, so klassifiziere ich die Wichtigkeit von oben nach unten in abnehmender Bedeutung.

Was soll ich tun?

Wenn Sie sich nicht sicher sind, ob Sie auf HTTPS umsteigen sollen, dann prüfen / beherzigen Sie die folgenden Ratschläge:

Je anspruchsvoller Ihre bezahlenden (= echten) Kunden sind und je schützenswerter / sensibler die verwendeten Daten wirklich sind und je größer / häufiger solch ein Datenverkehr ist, umso eher lohnt sich der Aufwand.

Wenn HTTPS, dann richtig

Damit man mich und meine Kritik an SSL und HTTPS korrekt versteht: Ich bin für Sicherheit. Aber hierbei handelt es ich um eine ganzheitliche Aufgabe, die auch als strategische Entscheidung von der Firmenleitung getroffen und dann von allen und in jedem Detail konsequent umzusetzen ist.

Umrüsten auf HTTPS

Sie wollen auf HTTPS umrüsten? - Gut!

Umstellung der eigenen Auftritte

Empfehlungen für die Umrüstung auf HTTPS

Kosten der Zertifikate

HTTP/2

Praxis-Probleme der Umstellung

Hier erfahren Sie, welche Fehler Sie wie vermeiden können.

ALL-INKL.COM - Webhosting Server Hosting Domain Provider

Hilfe beim perfekten Einrichten von HTTPS

Ich helfe Ihnen gerne dabei, Ihren Internet-Auftritt perfekt auf HTTPS umzurüsten. Nehmen Sie Kontakt auf.

Quellen

Für Ihre weitere Lektüre:

Netzinfrastruktur

Verschlüsselung

Zertifikate und Zertifikatsherausgeber

HTTP/2

Testwerkzeuge

Zum Seitenanfang

Controlling21.de - Dr. J. Schuhmacher
Internet und Multimedia in Perfektion