SSL-Übersicht: Das war das Verschlüsselungs-Jahr 2018
In unserer SSL-Übersicht sehen Sie, wie turbulent das Jahr 2018 im Bereich der Verschlüsselung war. Es kam zu Übernahmen, Umbenennungen, zum Vertrauensverlust und zu neuen innovativen Entwicklungen. Um den Überblick zu behalten, haben wir für Sie eine Jahres-SSL-Übersicht geschaffen.
Namens-Wirrwarr der Zertifizierungsstellen (CAs)
Das erste Ereignis in unserer SSL-Übersicht betrifft die Certificate Authority (CA) Symantec, darüber hinaus aber auch Thawte und GeoTrust. Google gab bekannt, dass man SSL-Zertifikaten dieser CAs nicht mehr vertraut (wir berichteten). Mit der Browser-Version Google Chrome 70, die im September erschienen ist, ging Chrome dazu über, sämtliche Verbindungen, die Zertifikate der Symantec-Gruppe nutzen, als nicht vertrauenswürdig einzustufen. Grund für das entzogene Vertrauen war die Falschausstellung eines SSL-Zertifikats für die Domain google.com von Symantec. Der Suchmaschinenriese entdeckte weitere Zertifikate der CA, die nicht geltenden Standards entsprachen. So fiel die Entscheidung, der Symantec-Gruppe das Vertrauen zu entziehen. Im Dezember 2017 wurde die SSL-Sparte von Symantec durch DigiCert akquiriert. Kunden, die ihr Zertifikat aufgrund von Googles Entscheidung austauschen mussten, haben wir unkompliziert unterstützt.
Auch die Comodo CA richtete sich im Jahre 2018 neu aus. Ende Oktober berichteten wir, dass Comodo von Francisco Partners übernommen wurde. Aufgrund dieser Neuerung und um sich von Comodo Cybersecurity abzugrenzen, wird der Firmenname von Comodo auf Sectigo geändert. Kunden haben leichtes Spiel: Eine Neuausstellung eines SSL-Zertifikats ist unnötig. Lediglich das Comodo TrustLogo muss geändert werden. Mittlerweile ist bereits das neue Trustlogo von Sectigo erhältlich. Kunden ist zu empfehlen, das alte Comodo Trustlogo gegen das Neue auszutauschen.
Einstellung dreijähriger SSL/TLS-Zertifikate
SSL-Verschlüsselung soll sicherer werden – auch das zeigt unsere SSL-Übersicht. Ein Mittel der Wahl war es, die Laufzeiten der SSL-Zertifikate zu kürzen. Das CA/Browser Forum hatte diesen Beschluss aus Sicherheitsgründen gefasst. Die Laufzeit von EV-Zertifikaten konnte nie zwei Jahre überschreiten, sodass diese Neuerung ausschließlich DV- und OV-Zertifikate betrifft. Seit Februar 2018 werden keine dreijährigen SSL/TLS-Zertifikate mehr ausgestellt. Mit dieser Maßnahme erhofft man sich, das Netz dadurch sicherer zu gestalten, dass veraltete Verschlüsselungsstandards schneller verschwinden. Zudem sollten Zertifizierungsstellen die Möglichkeit erhalten, flexibel auf Sicherheitslücken zu reagieren und ihre SSL/TLS-Zertifikate entsprechend zu optimieren.
Kein Vertrauen ohne SSL
Seit der Version Google Chrome 68 warnt der Browser vor unverschlüsselten Websites. Wurden bislang HTTPS-Seiten mit einem “Sicher” gekennzeichnet, ging Google ab Juli 2018 dazu über, konkret vor unverschlüsselten Websites zu warnen. Begründet hat Google diesen Schritt damit, dass verschlüsselte Sites immer mehr zum Standard werden. Deshalb sei es notwendig, nicht mehr auf die SSL-Verschlüsselung hinzuweisen, sondern auf das Fehlen dieser.
DSGVO macht SSL zum Muss
Mit dem 25. Mai 2018 trat die vielfach diskutierte europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Europaweit wurden die Regelungen zum Verarbeiten personenbezogener Daten vereinheitlicht. Schon seit Januar 2016 ist es Pflicht, zumindest Kontaktformulare zu verschlüsseln (§ 13 Abs. 7 TMG). Grund war und ist die Möglichkeit, über die Website personenbezogene Daten zu erheben. Nicht alle Websitebetreiber sind dieser Vorgabe gefolgt. Mit dem Start der DSGVO jedoch mussten Website-Betreiber handeln und ihre Sites sicher verschlüsseln.
Im Oktober 2017 erklärte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in einer Pressemitteilung (PDF), dass man Websites im Allgemeinen und Kontaktformulare im Besonderen auf HTTPS-Verschlüsselung überprüft. Als bayerische Behörde konnte das BayLDA lediglich Websites bayerische Anbieter überprüfen. Mit dem Start der DSGVO sind jedoch Datenschützer in verschiedenen Bundesländern aktiv geworden.
TLS 1.3 offiziell verabschiedet
Das darf in keiner SSL-Übersicht fehlen: Die IETF hat mit TLS 1.3 den TLS 1.2-Nachfolger standardisiert. Bis es dazu kam, hat es wirklich lange gedauert. Denn Banken und Behörden hätten gerne einen Zugang zu den verschlüsselten Verbindungen gehabt. Mittels Opt-in-Technik sollte das Mitlesen des verschlüsselten Verkehrs ermöglicht werden – nur zur Fehlersuche, versteht sich. Wenig verwunderlich, dass die IETF diesen kruden Vorschlag abgelehnt hatte.
Das lange Warten auf den neuen Standard hat sich gelohnt:
- Der Verbindungsaufbau wird mit TLS 1.3 kryptografisch abgesichert.
- Durch das Optimieren der Kryptoalgorithmen werden über die Pakete weniger Metadaten mitgeliefert, was der Privatsphäre sehr entgegenkommt.
- Zero-Round-Trip-Time-Resumption (0-RTT) ermöglicht es Nutzern, kürzlich schon besuchte Sites beim Reconnect zügiger aufzubauen. Neue Sicherheitsmechanismen sorgen dafür, dass dieses Feature nicht von Angreifern missbraucht werden kann.
- AEAD (Authenticated Encryption with Associated Data; optimierte Variante von AE) ist verpflichtend geworden. So sind Vertraulichkeit, Integrität und Authentizität der Daten sichergestellt, was im Sinne der DSGVO ist.
- Auf veraltete Technologien wie MD5, SHA-1 oder RC4 verzichtet TLS 1.3. Damit sinkt das Risiko von Konfigurationsfehlern. Neben dem DSA-Signaturalgorithmus sind auch benutzerdefinierte DHE-Gruppen und Komprimierungen weggefallen.
- Durch neue Chiffre-Suiten wurden die Verwundbarkeiten während des TLS-Handshakes beschränkt. Curve25519 in ECDH sorgt für eine Beschleunigung des Schlüsselaustauschs und zu einer reduzierten Latenz.
Vertrauensentzug namhafter CAs
Ein wichtiger Aspekt, der in der SSL-Übersicht nicht fehlen darf: Der Vertrauensentzug durch Google. Mit den Chrome-Versionen 68 und 70, die im April und Oktober 2018 erschienen sind, entzog Google hunderttausenden von Domains das Vertrauen. Betroffen waren alle Verbindungen, die Zertifikate der Symantec-Gruppe genutzt haben. Insgesamt 11.510 Domains waren von dieser Umstellung betroffen, weitere 91.627 Domains waren nicht davor gefeit, ab Oktober in Chrome Warnmeldungen auszulösen. Betroffen waren unter anderem auch das Bundesfinanzministerium und große Sites wie die der Uni Hildesheim, Spiegel Online oder wetter.de.
Nicht nur die direkt von Symantec ausgestellten SSL-Zertifikate waren betroffen. Das Vertrauen wurde sämtlichen SSL/TLS-Zertifikaten entzogen, die in ihrer Vertrauenskette auf Symantec zurückgingen. Es waren also auch CAs wie RapidSSL, GeoTrust oder Thawte betroffen. Admins taten gut daran, die Root-CA ihrer Zertifikate zu überprüfen.
SSL-Übersicht: PSW GROUP bleibt sicher!
Übrigens: Sämtliche SSL-Zertifikate, die Sie in unserem Portfolio finden, sind sicher! Wir haben frühzeitig auf die Neuerungen aus unserer SSL-Übersicht reagiert und bieten Ihnen ausschließlich SSL/TLS-Zertifikate nach aktuellen Standards. SSL-Zertifikate, die Sie bei uns erwerben, wurden nicht als unsicher eingestuft – Chrome und andere Browser zeigen Ihre Site als sicher an, wenn Sie sich für Zertifikate von uns entscheiden.
Schreibe einen Kommentar