HTTPS - Lösung oder Problem?

Dieses Thema im Forum "Security" wurde erstellt von darkstar, 1. November 2014.

  1. darkstar

    darkstar Erfahrener Benutzer

    Registriert seit:
    24. Januar 2001
    Beiträge:
    1.105
    Ich weisz, der folgende Text ist mal wieder etwas provokant formuliert.

    Vor wenigen Jahren habe ich noch auf HTTPS vertraut - beispielsweise für den Schutz der Kommunikation mit einer Website (Verschluesselung) bzw. für die Pruefung der Authentizitaet des Servers, mit dem ich kommuniziere. Das war zu diesem Zeitpunkt ein relativ problemloses Thema und stoerte - abgesehen von der niedrigeren Performance - auch nicht weiter im Betrieb. Fuer ein Google-Ranking spielte es keine Rolle.

    1) Dann kam die NSA-Affaere und mich beschlich das Gefuehl, dass auch die SSL-Kommunikation durch interessierte Parteien in Echtzeit zu entschluesseln ist.
    2) Dann kam eine Sicherheitsluecke nach der anderen, viele Server mussten mehrfach aktualisiert werden - SSL wird dadurch aufwendig. Ob 1) damit erledigt ist, kann ich mir nicht wirklich vorstellen.
    3) Mittlerweile werden die Firewalls immer aufwendiger und teurer... unser Astaro-Cluster (ca. 30 T€ fuer 3 Jahre - nur ein Standort!) bietet nun sogar die Moeglichkeit, https-Traffic zu scannen. Ist zumindest ganz erfolgreich gegen Trojaner-Traffic im https-Protokoll. Das es sich bei diesem Vorgehen im Grunde um eine Man-in-the-Middle-Attacke handelt muss ich glaube ich nicht extra erwaehnen. Die Alternative dazu ist im Uebrigen, https-Traffic komplett zu blocken und - falls einer der User einen speziellen Host haben moechte - nur diesen freizugeben.
    4) Dann werden .local-SSL-Zertifikate nicht mehr ausgestellt. Hier wird das zu einer Migration unserer Windows-Domaene (etwa 50 Standorte/3.000+ Clients)
    fuehren, da wir bei der Einfuehrung von Active Directory vor vielen Jahren der Empfehlung von MS fuer .local-Domains im internen Netz gefolgt sind. Aufwendungen gewaltig - zusaetzlicher Nutzen = Null.
    5) Google will nun noch https im Ranking besser beruecksichtigen... Folge wird sein, dass immer mehr Website-Betreiber ihre Seiten auf https umstellen. Falls der Websitebetreiber das mit seinen Kenntnissen nicht auf die Reihe bekommt, wird diesem dann erklaert, dass alles ganz einfach waere und der fremde Admin eben nur mal auf den Server muesste um als Service das jeweilige Zertifikat einzubinden... (ohne Worte).

    Fazit fuer mich:
    Im Grunde fuehrt das alles HTTPS ad absurdum.
    Die Verschluesselung ist im Eimer, die Authentizitaet des Kommunikationspartners ist im Eimer (man muss nur die Firewall direkt angreifen). Wenn nun mein Sicherheitsluecken-anfaelliges you-name-it CMS mal wieder einer Attacke erliegt werden Schadsoftware und Fishing-Seiten auch noch https-gesichert ausgeliefert - insofern auch kaum Alternativen zum Vorgehen der Firewall... Der administrative Aufwand wird ziemlich schnell ziemlich teuer, auch wenn die Preise der Zertifikate tendenziell gesunken sind.

    Der Nutzen gegenueber http naehert sich Null an, ohne erhebliche Aufwendungen ist bei der Netzwerkadministration kaum noch fuer Sicherheit zu sorgen...


    Wie seht Ihr das? Gibt es eventuell Alternativen?


    MfG
    darkstar
     
  2. heutger

    heutger Eingetragener Provider

    Registriert seit:
    9. Oktober 2004
    Beiträge:
    228
    Ort:
    Fulda
    Firmenname:
    PSW GROUP
    Anbieterprofil:
    Klick
    AW: HTTPS - Lösung oder Problem?

    Eigentlich wird damit HTTPS erst erwachsen und Sicherheit rückt in den Fokus, in den sie schon lange gehört. Bisher wurde SSL3, SHA1 und andere "Unarten" einfach geduldet, weil keiner ein Interesse daran hatte, hier für Sicherheit zu sorgen. Es wurde das OpenSSL-Projekt einfach so laufen lassen, nur wenige Sponsoren, darunter auch wir, haben frühzeitig sich für das Projekt engagiert, auf welchem all zu oft die Sicherheit basierte.

    Viele Säumnisse müssen nun für viel Zeit und Geld ausgeräumt werden, parallel dazu bewegt sich der Markt weiter: Firewalls müssen heute weitere Aufgaben erfüllen wie BYOD, WAF, die das Produkt teurer machen, die Übernahme durch Sophos hat das Produkt auch nicht günstiger gemacht, die ICANN wollte weitere neue TLDs zulassen (verkaufen), dazu wurde es nötig, sich über Namenskonflikte zu einigen, dass hier auch .local, obwohl explizit gesperrt, nicht mehr zertifiziert werden soll, ist zunächst nicht nachvollziehbar, aber das sind viele Entscheidungen der ICANN, insbesondere im Bezug auf die neuen TLDs nicht.

    Trotzdem ist HTTPS nicht das Problem, es ist ein guter Anfang, aber Sicherheit bedarf heutzutage im Katz-und-Maus-Spiel eben mehr, ein Malwarescanner, ein Phishingscanner, ein Codesafe, ein mehrstufiges Firewallkonzept, all das sind aber Lösungen, die längst möglich sind, oft aber vernachlässigt werden, bis es eben wieder "knallt". In Zeiten organisierter Internetkriminalität wird es leider zunehmend aufwändiger, sich zu schützen.
     
  3. Löwenzahn

    Löwenzahn New Member

    Registriert seit:
    5. September 2013
    Beiträge:
    17
    Ort:
    München
    AW: HTTPS - Lösung oder Problem?

    Alles in allem ist HTTPS auf dem richtigen Weg - vollständige Sicherheit gibt es aber nicht und wird es auch niemals geben - egal was ist. Auch bei Alternativen nicht.
     
  4. MadMakz

    MadMakz New Member

    Registriert seit:
    18. August 2011
    Beiträge:
    6
    AW: HTTPS - Lösung oder Problem?

    HTTPS besser zu Ranken (und damit SSL sanft zu erzwingen) ist meiner meinung nach kompletter blödsinn.
    Für reinen Content (Blogs, News etc) macht das überhaupt keinen Sinn.

    Man sollte hier ganz klar zwischen eCommerce, Lesecontent und alles was nach einem Login nahekommt differenzieren.
    Zudem hilft SSL auch nicht wenn eine Webseite an sich kompromitiert und unsicher ist.

    Google schafft ein völlig falsches Verstdändniss zu SSL und sicherheit im allgemeinen.

    Genauso wie das bescheuerte wie TÜV-Siegel für einen Browser.
     

Diese Seite empfehlen