« #CryptoLeaks ein alter Hut? | Blog | Computer-Zeitung empfiehlt: Verstoßen Sie gegen die Compliance Regeln im Unternehmen »

Modernes https

Mittwoch 19 Februar 2020 von Rainer W. Gerling

Wir haben uns daran gewöhnt, Web-Seiten über verschlüsselte https-Verbindungen aufzurufen, damit niemand mitlesen kann. Bei dieser Verschlüsslung gibt es unterschiedliche Versionen: TLSv1.0, TLS 1.1, TLS 1.2 und TLS 1.3, die auch unterschiedlich sicher sind. Wegen der teilwiese massiven Unsicherheiten in den veralteten Protokollen (TLSv1.0 ist 20 Jahre alt) werden die führenden Browserhersteller die Unterstützung von TLS 1.0 und 1.1 ab etwa März 2020 abschalten. Web-Seiten, die dann kein TLS 1.2 anbieten, können dann nicht mehr mit aktuellen Browsern abgerufen werden.

Microsoft unterstützt im Rahmen des Angebots Office 365 bereits seit dem 31.10.2018 die Protokolle TLS 1.0 und TLS 1.1 nicht mehr. Der Standard der Kreditkarten-Industrie PCI DSS verbietet seit dem 20.6.2018 die Verwendung von TLS 1.0.

Die Zeitpläne der Browserhersteller zur Deaktivierung von TLS 1.0 und TLS 1.! sind wie folgt:

  • Google: ab Chrome 81 (ca. März 2020)
  • Mozilla: Firefox ab März 2020
  • Apple: Safari ab März 2020
  • Microsoft: IE 11 und Edge in der ersten Hälfte 2020

Aus Sicherheitsgründen ist der Einsatz veralteter Browser, um weiterhin TLS 1.0 und 1.1 nutzen zu können, daher nicht sinnvoll.

Wenn Sie also ab März 2020 feststellen, dass Web-Seiten nach einem Browser-Update nicht abrufbar sind, verwenden diese doch noch die alten Verschlüsselungsverfahren. Das kann nur der Anbieter der Web-Seite beheben. Bei einem Webservern im Unternehmen (ein aktueller Apache bzw. Microsoft IIS oder vergleichbarer Server) ist eine entsprechende Konfiguration problemlos möglich. Kritisch werden jedoch unter Umständen ältere proprietäre Systeme, wie Workflow-Systeme, Zeiterfassungs-Systeme, sog. embedded Web-Server in Geräten wie Firewalls, Router, Switches, Telefonanlagen, Gebäudeleittechnik etc., da hier Abhängigkeiten von der jeweiligen Firmware existieren. Hier gibt es erfahrungsgemäß noch viele Server, die noch kein TLS 1.2 oder besser unterstützen.

Dies gilt auch im Privatbereich. Wenn Sie z.B. auf die Web-Oberfläche Ihrer Heizungssteuerung oder Ihres älteren DSL, bzw. Kabel-Router ab März nicht mehr zugreifen können, liegt es wahrscheinlich an diesem Problem. Da müssen Sie sich dann mit dem Hersteller der Steuerung in Verbindung setzen, da nur er in der Lage ist das Problem zu beheben.

Soweit die erforderliche Konfiguration bei einem oder mehreren Geräten nicht möglich ist, wird der Zugriff über einen reverse Proxy empfohlen. Dabei ist darauf zu achten, dass das Netzwerksegment zwischen reverse Proxy und Web-Server geschützt ist. Bei einem entsprechenden hohen Schutz des Netzes zwischen reverse Proxy und Web-Server kann u.U. in diesem Segment auf Verschlüsselung verzichtet werden.

Bezüglich der konkreten Konfiguration für die Webserver Apache, lighttpd, nginx, Cherokee und MS IIS wird auf die Anleitung „Applied Crypto Hardening: bettercrypto.org“ oder die Empfehlungen von Mozilla "Security/Server Side TLS" verwiesen. Die Mozilla-Seite verlinkt auch einen Konfigurationsgenerator.

Sobald Anmeldungen mit Benutzername und Passwort über verschlüsselte https-Verbindungen laufen oder auf personenbezogene Daten zugegriffen wird, muss nach Art. 32 DSGVO bei den technischen Maßnahmen der Stand der Technik eingehalten werden, d.h. midestens der Level „Intermediate“ der Mozilla-Empfehlung. Dies gilt auch für Web-Angebote bei denen personenbezogene Daten, z.B. in Kontaktformulare oder Registrierungen, eingeben werden. Bei unkritischen Informationsangeboten kann auch noch übergangsweise nach einer Risikobetrachtung der Level „Old“ genutzt werden, um ältere Geräte nicht auszuschließen.

Kategorien: IT-Sicherheit, Physische Sicherheit, Tipps