{"id":2761,"date":"2015-12-08T17:52:59","date_gmt":"2015-12-08T16:52:59","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=2761"},"modified":"2025-11-27T11:12:50","modified_gmt":"2025-11-27T10:12:50","slug":"ssl-gezielt-optimieren-zusammenfassung-des-heise-security-webinars","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/ssl-gezielt-optimieren-zusammenfassung-des-heise-security-webinars\/","title":{"rendered":"SSL gezielt optimieren: Zusammenfassung des heise Security Webinars"},"content":{"rendered":"

Am Donnerstag, den 26. November 2015, veranstaltete heise Security das Webinar „SSL gezielt optimieren“, das von uns, der PSW GROUP<\/a>, gesponsert wurde. Heise-Redakteur und Krypto-Experte J\u00fcrgen Schmidt unternahm eine Krypto-Bestandsaufnahme, erkl\u00e4rte HSTS sowie das Zertifikats-Pinning mit HPKP, orakelte, wie es mit DANE weitergehen kann, und erkl\u00e4rte Certificate Transparency.<\/p>\n

<\/p>\n

Krypto-Bestandsaufnahme<\/h3>\n

Schmidt verwies im Webinar auf das Ende des Hash-Algorithmus‘ SHA-1. Weiter erkl\u00e4rte er, warum SHA-2 dem aktuellen Stand der Sicherheit entspricht und dass SHA-3 bereits als Nachfolger in den Startl\u00f6chern steht. Mehr Hintergrundwissen zu diesen Hashalgorithmen erhalten Sie durch unseren Beitrag „SHA-1 wird verabschiedet, SHA-2 startet: das m\u00fcssen Sie wissen“<\/a>. Nachdem J\u00fcrgen Schmidt auf aktuelle Problematiken in asymmetrischen Verschl\u00fcsselungsverfahren hingewiesen hatte, kam er auf SSL-Erweiterungen zu sprechen, die Ihnen noch mehr Sicherheit geben.<\/p>\n

SSL-Erweiterungen: HSTS<\/h3>\n

HSTS k\u00fcrzt „HTTP Strict Transport Security“ ab. Die SSL-Erweiterung erzwingt \u2013 kurz gesagt \u2013 verschl\u00fcsselte Verbindungen \u00fcber einen im HTTP-Header festgelegten Zeitraum, in aller Regel 12 Monate. Hei\u00dft in der Praxis: nachdem Sie HSTS aktiviert haben, werden Websitebesucher, die Ihre Dom\u00e4ne unverschl\u00fcsselt via HTTP ansteuern, automatisch auf die verschl\u00fcsselte HTTPS-Seite weitergeleitet. Ideal funktioniert dies, wenn diese Umleitung mit dem Websitebesucher auch kommuniziert wird. Zum Thema stellten wir im Webinar einen Leitfaden zur Verf\u00fcgung. Haben Sie das Webinar verpasst, k\u00f6nnen Sie den Kurz-Leitfaden am Ende dieses Beitrags herunterladen.<\/p>\n

HSTS wird bereits in den Leitlinien der CESG zur sicheren TLS-Konfiguration<\/a> auf Servern empfohlen, au\u00dferdem setzen Riesen wie Apple, Wikimedia, Microsoft<\/a>, aber auch Mozilla<\/a> auf diese SSL-Erweiterung.<\/p>\n

SSL-Erweiterungen: HPKP<\/h3>\n

Durch Probleme bei der Validierung durch diverse Zertifizierungsstellen ergibt es sich, dass zuweilen gef\u00e4lschte SSL-Zertifikate<\/a> auftauchen und\/oder Man-in-the-Middle-Attacken durchgef\u00fchrt werden k\u00f6nnen. Hier setzt HPKP an: wenn ein Webserver auf eine Anfrage antwortet, sendet er im HTTP Header mindestens die Information mit, wie die Pins der zwei Schl\u00fcssel lauten und wie lange diese g\u00fcltig sind. Diese Informationen merkt sich der jeweilige Webbrowser. Sollte nun der Pin des gesendeten Zertifikats nicht mit dem Pin des HTTP-Headers \u00fcbereinstimmen, kommt die Verbindung nicht zustande. Der Pin entspricht dem SHA256-Hash-Fingerprint des \u00f6ffentlichen Schl\u00fcssels eines Zertifikats.<\/p>\n

Es ist sinnvoll, dem Pin ein max-age-Attribut von 60 Tagen zuzuschreiben. Idealerweise sind es zwei Pins, damit keine Pannen passieren k\u00f6nnen: wenn Sie wom\u00f6glich den Key verlieren oder aber eine Sicherheitsl\u00fccke wie Heartbleed daf\u00fcr sorgt, dass Ihr Zertifikat ung\u00fcltig wird, w\u00fcrden Sie Websitebesucher schlimmstenfalls 60 Tage lang aussperren. Also m\u00fcssen Sie zwei Pins angeben; der zweite fungiert als Backup-Key.<\/p>\n

Google hat in seiner Chrome-Version 46 das Feature HPKP Reporting integriert. Stimmen also Zertifikate-Pin und HTTP-Header-Pin wie eben beschrieben nicht \u00fcberein, verweigert Chrome die Verbindung zur Website. Der Browser sendet diese Information an eine Stelle, die Sie im HPKP-Header optional angeben k\u00f6nnen (report-uri). Das kann im Header zum Beispiel so aussehen: \u201ehttps:\/\/www.psw-group.de\/hpkpReportUri\u201c. Chromes Implementierung von HPKP arbeitet ausschlie\u00dflich mit Zertifikaten von \u00f6ffentlich-vertrauensw\u00fcrdigen Zertifizierungsstellen. Im Reporting werden keine SSL-Zertifikate<\/a> ber\u00fccksichtigt, die von privaten CAs ausgestellt wurden.<\/p>\n

Mehr \u00fcber HPKP erfahren Sie schon bald auf unserer Seite www.hpkp-faq.de<\/a> sowie im unten bereitgestellten Download.<\/p>\n

Certificate Transparency<\/h3>\n

Auch Certificate Transparency, kurz: CT, war ein Thema, das sich J\u00fcrgen Schmidt beim heise-Webinar angesehen hat. Seit dem Fr\u00fchjahr diesen Jahres erzwingt der Internetriese Google die Mitarbeit der Zertifizierungsstellen und verlangt, dass s\u00e4mtliche CAs, die EV-Zertifikate ausgeben, neue Zertifikate loggen. Dies soll verhindern, dass gef\u00e4lschte Zertifikate in Umlauf kommen k\u00f6nnen. Ausf\u00fchrliche Hintergr\u00fcnde zu CT finden Sie in unserem Blogbeitrag „Certificate Transparency: wichtige \u00c4nderungen bei Ihren SSL\/TLS-Zertifikaten“<\/a>.<\/p>\n

Downloads zum Webinar<\/h3>\n

Wir danken heise Security f\u00fcr das aufschlussreiche und wie immer sehr gut recherchierte und organisierte Webinar! Neben den im Text angegebenen Informationen stellen wir Ihnen gerne die Downloads (PDF) bereit, die wir den Webinar-Teilnehmern schon w\u00e4hrend des Webinars an die Hand gegeben haben:<\/p>\n