„Sicherheit zwischen Klick und Webseite – TLS/SSL: Eine Frage der Implementierung“ - Prof. Dr. Norbert Pohlmann

J. Meng, N. Pohlmann:
„Sicherheit zwischen Klick und Webseite – TLS/SSL: Eine Frage der Implementierung“,
IT-Sicherheit – Mittelstandsmagazin für Informationssicherheit und Datenschutz, DATAKONTEXT-Fachverlag,
2/2019

Die Kommunikation im Internet ist grundsätzlich offen, die Wahrscheinlichkeit eines Angriffs daher permanent sehr hoch. Die Nutzung einer verschlüsselten und integritätsgesicherten Kommunikation zwischen Client und Server ist daher von besonderer Bedeutung. Der vorherrschende Ansatz für die Transportverschlüsselung im Web ist die Verwendung von TLS (Transport Layer Security) / SSL (Secure Socket Layer) – TLS/ SSL. TLS/SSL ist ein anwendungsunabhängiges Cybersicherheitsprotokoll, das logisch auf einem Transportprotokoll aufsetzt. Dieser Beitrag untersucht die TLS/ SSL- Konfiguration populärer Webseiten in Deutschland: Wie gut ist die Kommunikation mit Webseiten durch TLS/ SSL gesichert? Setzen die Webserver nur sichere Cipher Suites (Verschlüsselungsmethoden) und Protokollversionen ein? Das für die Tests genutzte Tool und Ergebnisse aus drei damit durchgeführten Testreihen werden im Verlauf des Beitrags näher vorgestellt. TLS/ SLL ist weit verbreitet und wird täglich von Milliarden Internet-Nutzern verwendet: Der Anteil der TLS/ SSL-Verbindungen hat sich seit Anfang 2016 von etwa 25 Prozent auf heute rund 75 Prozent der gesamten Verbindungen im Internet erhöht.

Die folgenden Cyber-Sicherheitsfunktionen werden von TLS/SSL angeboten:

• Authentifikation von Server und Client unter Verwendung von asymmetrischen Verschlüsselungsverfahren und elektronischen Zertifikaten.
  
• Vertrauliche Client-to-Server Datenübertragung mit Hilfe symmetrischer Verschlüsselungsverfahren unter der Nutzung eines gemeinsamen Sitzungsschlüssels.
  
• Sicherstellung der Integrität der transportierten Daten unter Verwendung des HMAC-Verfahrens[1].

• TLS/SSL bietet in bestimmten Versionen auch die Komprimierung der Daten an.

Beschreibung des TLS-SSL-Testtools

Das unter https://tls-ssl-test.internet-sicherheit.de/ verfügbare Werkzeug dient der Überprüfung der TLS/SSL-Konfiguration von Webseiten. Der Nutzer kann eine beliebige Webseiten-Adresse (Domain) in das TLS-SSL-Testtool eingeben und den Test starten. Daraufhin zeigt das TLS-SSL-Testtool die vorhandene Konfiguration der getesteten Webseite an. Als zusätzliches Feature wird die ermittelte Konfiguration bewertet.

Darüber hinaus sind unter der oben genannten Adresse auch bereits ermittelte Bewertungen von drei Anbieterkategorien bereitgestellt. Eine Kategorie ist die Top 50 der in Deutschland aufgerufenen Webseiten, die zweite Kategorie bilden die Top 30 der kleinen und mittelständischen Unternehmen sowie die dritte Kategorie die Top 20 der Hochschulen.

…