SSL-Verschlüsselung: Markt noch nicht reif für SNI (Server Name Indication)

Dieses Thema im Forum "Pressemitteilungen" wurde erstellt von heutger, 2. November 2011.

  1. heutger

    heutger Eingetragener Provider

    Registriert seit:
    9. Oktober 2004
    Beiträge:
    233
    Ort:
    Fulda
    Firmenname:
    PSW GROUP
    Anbieterprofil:
    Klick
    Fulda - SSL-Zertifikate zur Verschlüsselung von Web-Angeboten einzusetzen, ohne im Besitz einer eigenen IP-Adresse zu sein und stattdessen einfach die Server-Stammadresse mit zu nutzen, ist heute zwar theoretisch schon möglich. In der Praxis gibt es jedoch noch entscheidende Hürden, die es zu überwinden gilt. Darauf macht der Internet Security-Spezialist PSW GROUP (www.psw.net) aufmerksam. Grund: Das so genannte SNI (Server Name Indication)-Protokoll, das den Betrieb von SSL-Zertifikaten ohne eigene IP-Adresse ermöglicht, existiert zwar bereits seit 2003, ist aber noch längst nicht reif für den Massenmarkt, der auf funktionsfähige SSL-Zertifikate angewiesen ist.

    Denn SNI, das seit kurzem auch von Plesk (ab der Version 10.3) unterstützt wird, setzt neben bestimmten Versionen von Server-Betriebssystemen und Webserver-Technologien insbesondere auf Clientseite voraus, dass mindestens eine bestimmte Betriebssystem- und Browserversion verwendet wird. So wird SNI zwar von nahezu allen jüngsten Versionen etablierter Browser unterstützt, bei den Client-Betriebssystemen greift das Protokoll aber erst ab Windows Vista, Mac OS X & Co.

    Nutzer, die hingegen ältere Betriebssysteme wie beispielsweise Windows XP verwenden, werden von SNI schlichtweg ausgeschlossen. Das wiederum bedeutet, dass der Austausch von vertraulichen Daten mit einer vermeintlich SSL-gesicherten Website in diesem Fall nicht funktionieren wird. Da der Marktanteil von Windows XP noch sehr groß ist – erst kürzlich fiel er unter die 50-Prozent-Marke –, würde das SNI-Protokoll zum aktuellen Zeitpunkt bei fast jedem zweiten Internet-Nutzer und Website-Besucher ins Leere laufen.

    "Wer jetzt auf SNI vertraut, läuft Gefahr, dass seine Website aufgrund mangelnder Interoperabilität vielen Nutzern eben nicht in der SSL-verschlüsselten Version sondern in Standard-Variante auf der Stamm-IP ausgeliefert wird", führt Christian Heutger, Geschäftsführer der PSW GROUP GmbH & Co. KG, aus. Der Internet-Sicherheitsexperte rät daher von einem Einsatz des an sich sehr vielversprechenden SNI-Protokolls gegenwärtig noch ab.

    Weitere Informationen unter www.psw.net


    Über die PSW GROUP

    Die PSW GROUP mit Sitz in Fulda ist einer der deutschlandweit führenden Full Service-Provider für Internetlösungen mit einem besonderen Schwerpunkt auf Internet Security. Als solcher bietet das Unternehmen – sowohl für den Web-Einsatz als auch für die E-Mail-Kommunikation – Zertifikats-, Signatur-, Verschlüsselungs- und Authentifizierungslösungen an. Das umfassende Produktportfolio reicht speziell in diesem Bereich von SSL-Zertifikaten über Code-Signing-Zertifikate bis hin zu qualifizierten elektronische Signaturen.

    Aber auch Sicherheitslösungen wie das PCI-Scanning, Secure CDN und DNSSEC sowie Gütesiegel und Kundenbewertungssysteme speziell für E-Commerce-Anbieter finden sich im Repertoire der PSW GROUP. Neben der großen Produkt-Vielfalt verfügt das im Jahr 2000 gegründete Unternehmen über eine fast 11-jährige Expertise in den Bereichen Internet-Sicherheit, IT-Recht sowie Hosting- und Domaindienstleistungen.

    Zu den Kunden der PSW GROUP zählen Webhoster sowie Webdesign- und Marketing-Agenturen, die als Reseller auf die Sicherheitslösungen des Full Service-Providers zurückgreifen, aber auch Betreiber von E-Commerce-Angeboten sowie Online-Shops.

    Internet: www.psw.net




    Presse-Kontakt:

    PSW GROUP GmbH & Co. KG
    Flemingstraße 20-22
    D-36041 Fulda

    PresseDesk
    Tel.: 030 / 2009 513 – 0
    E-Mail: psw-group@pressedesk.de
     
  2. Webrun

    Webrun New Member

    Registriert seit:
    29. November 2011
    Beiträge:
    2
    AW: SSL-Verschlüsselung: Markt noch nicht reif für SNI (Server Name Indication)

    Guten Tag,
    diesem Artikel kann ich teilweise zustimmen. Leider ist SNI noch nicht in der Form verbreitet wie es das sein sollte/könnte. Ein mehr als sinnvolles Feature.
    Ich möchte jedoch etwas Kritik an diesem Artikel üben, da durch eben solche mittelfristig die Verbreitung von SNI nur schwer besser wird. Ich habe in diversen Artikeln zu diesem Thema gelesen, dass SNI von Windows XP angeblich nicht unterstützt wird. Wenn man dem Test folgender Seite Glauben schenken darf tut es dies eben doch.

    https://sni.velox.ch
    Getestet wurde mit Windows XP SP3 und Firefox 3.6 sowie Google Chrome 15.
    Ergebnis: funktioniert laut Test.
    Der Test schlägt lediglich auf einem Nokia Smartphone mit Symbian 5th Edition fehl.

    Da die meisten Webserver ein default Zertifikat ausliefern, sofern keines für die Domain hinterlegt ist, dass dann im schlimmsten Fall nur nicht zum Domainname passt und der Browser eine entsprechende Fehlermeldung generiert ist die Verbindung natürlich trotzdem verschlüsselt.

    Viele Grüße
    Webrun
     
    Zuletzt bearbeitet: 29. November 2011
  3. heutger

    heutger Eingetragener Provider

    Registriert seit:
    9. Oktober 2004
    Beiträge:
    233
    Ort:
    Fulda
    Firmenname:
    PSW GROUP
    Anbieterprofil:
    Klick
    AW: SSL-Verschlüsselung: Markt noch nicht reif für SNI (Server Name Indication)

    Hallo,

    leider sind hier unserer PR-Agentur zwei Unsauberkeiten passiert. In der Tat wird SNI unter Windows XP mit anderen Browsern unterstützt, die Beschränkung auf ab Windows Vista bezieht sich auf die am häufigsten verbreitete Kombination aus Windows XP und Internet Explorer, denn just dieser unterstützt SNI erst ab Windows Vista.

    Die Standard-Variante auf der Stamm-IP wurde auch leider unglücklich formuliert, in der Tat wird hierbei analog zur fehlerhaften Konfiguration mehrerer Zertifikate auf einer IP-Adresse ohne SNI das jeweils erste Zertifikat in der vhost-Reihenfolge geladen. Trotzdem ist das ja nicht wünschenswert, auch wenn Sie es als Workaround gelten lassen, so würde dieser Workaround ja doch sehr viele Anwendern treffen und mehr verunsichern denn helfen.

    Just vor kurzem gab es in einer hitzigen RIPE-Diskussion den Hinweis, dass mit SNI die IPv4-Knappheit noch länger hätte heraus gezögert werden können, jedoch der Ansatz einfach zu spät und zu wenig propagiert wurde. Wir rechnen daher eher mit einer zunehmenderen Verbreitung von IPv6, womit auch SNI an sich hinfällig würde, als dass SNI sich noch rechtzeitig genug etablieren wird. Darauf wollte auch vielmehr der Artikel heraus, dass das kürzlich "wiederentdeckte" SNI leider keine wirklich gängige Lösung darstellt, zumindest derzeit nicht, und in Angesicht von IPv6 wohl auch nur zu einer temporären Übergangslösung werden könnte.

    Mit freundlichen Grüßen,
    Christian Heutger
     
  4. Webrun

    Webrun New Member

    Registriert seit:
    29. November 2011
    Beiträge:
    2
    AW: SSL-Verschlüsselung: Markt noch nicht reif für SNI (Server Name Indication)

    Die schnelle Reaktion ist wirklich lobenswert. Ich komme jedoch nicht umhin aufgrund des Inhalts nochmals etwas hinzuzufügen.

    Natürlich gibt es dank IPv6 genug Adressen um die Homepage jedes Tante Emma Ladens zu sichern jedoch ist das sicher die falsche Denkweise. Nur weil es genug Adressen gibt, macht es keinen Sinn SNI abzuhaken. Berücksichtigt man den Aufwand der Einrichtung einer IP-Adresse sowie das Einhalten von RIPE-Richtlinien, steht dies in keinem Zusammenhang zur wirklich einfachen Installation eines Zertifikats bei Nutzung von SNI. Wie bereits erwähnt ist es mittels Plesk 10 möglich, ohne viel Kenntnis auf der Seite des Users, ein SSL-Zertifikat über die Administrationsoberfläche einzurichten. Da dies komplett vom User selbst ohne Zutun des Providers durchgeführt werden kann ist diese Variante deutlich kostengünstiger und wesentlich unkomplizierter. Nicht zu vergessen, die Kosten für eine zusätzliche IP-Adresse entfallen.

    Nicht ohne Grund wird SNI von jedem ernstzunehmenden aktuellen Betriebssystem wie auch Browser mittlerweile unterstützt. Selbst ein großer Hersteller von Hostingautomation wie Parallels entwickelt nicht ohne Grund eine Unterstützung für SNI. Das größte Problem ist, dass Microsoft sich entschieden hat SNI nicht für Windows XP und den IE nachzuliefern. Aufgrund der Verbreitung dieser Variante (IE mit Windows XP) kann man Microsoft zum großen Teil den noch nicht stattgefundenen Durchbruch von SNI anlasten.

    Grüße
    Webrun
     
    Zuletzt von einem Moderator bearbeitet: 29. November 2011
  5. heutger

    heutger Eingetragener Provider

    Registriert seit:
    9. Oktober 2004
    Beiträge:
    233
    Ort:
    Fulda
    Firmenname:
    PSW GROUP
    Anbieterprofil:
    Klick
    AW: SSL-Verschlüsselung: Markt noch nicht reif für SNI (Server Name Indication)

    Hallo,

    Das ist durchaus korrekt, der Aufwand ist wesentlich geringer bei einer geteilten IP-Adresse, jedoch hat eine eigene IP-Adresse durchaus auch seine administrativen Vorteile und die RIPE erlaubt ja derzeit für SSL-Sites eigene IP-Adressen, bei der Vielfalt von IP-Adressen bei IPv6 gibt es auch nicht wirklich Gründe, davon abzuweichen.

    Naja, das wurde auch Zeit, dass SNI endlich auch von der Industrie unterstützt wird, aber halt leider etwas (zu?) spät.

    Parallels hinkt auch stets hinterher, reagiert aber zunehmend auf den Druck der Industrie und scheint inzwischen auch zunehmend ein offenes Ohr für die Kunden zu haben, was so in den letzten Plesk 10.x-Versionen nachgeschoben wurde, kam zwar alles auch reichlich spät, aber ist durchaus echt bemerkenswert. In einem Thread zu Plesk 10.3 merkt man tatsächlich, dass Parallels die Belangen der Hoster erfahren und umsetzen möchte, fanden wir ziemlich positiv.

    Wir fürchten, dass das Problem nicht mal an Microsoft an sich liegt sondern vielmehr wie so manche Sicherheitslücke, deren Beseitigung ziemlich lange auf sich warten lies, ein architektonisches Problem darstellt. Man müsste womöglich zu viel verändern, dass das kaum effektiv realisierbar wäre, zudem ist ja Windows XP nun schon länger bekannt, dass es bald auslaufen würde, jedoch kann man halt schwer die Industrie zwingen, umzusteigen und so gibt es halt noch etliche Windows XP-Installationen, die weiter genutzt werden.

    Wie geschrieben, wir finden SNI ja an sich eine sehr gute Idee, wir hätten jedoch ein früheres Rollout begrüßt (an sich hat sich doch jeder gewundert, warum mit Name Based Virtual Hosting nur eine Lösung für HTTP, jedoch keine für HTTPS veröffentlicht wurde) und sehen jetzt eigentlich die Gefahr der "Totgeburt" einer vielversprechenden Technologie.

    Mit freundlichen Grüßen,
    Christian Heutger
     
  6. RichBone

    RichBone Geprüfter Provider

    Registriert seit:
    7. August 2006
    Beiträge:
    2.155
    Ort:
    Eisenhüttenstadt
    Firmenname:
    RB Media Group GmbH
    Anbieterprofil:
    Klick
    AW: SSL-Verschlüsselung: Markt noch nicht reif für SNI (Server Name Indication)

    Hallo

    und wenn Microsoft die Unterstützung nach liefern würde, besteht immer noch das Problem, das viele Firmen und auch Privatleute, nicht Regelmäßig Update einspielen, bis sogar garkeine Updates einspielen.

    Daher ist auch das Problem bei den Nutzern, das nicht alle Firmen und Privatleute direkt auf Vista oder Windows 7 umsteigen und immer noch Windows XP lieber nutzen.

    Mit freundlichen Grüßen

    Martin Krüger
     
  7. Bachsau

    Bachsau New Member

    Registriert seit:
    14. Februar 2011
    Beiträge:
    15
    Geschlecht:
    männlich
    AW: SSL-Verschlüsselung: Markt noch nicht reif für SNI (Server Name Indication)

    Dann sehen diese Leute eben nur noch Fehlermeldungen und werden zum Update gezwungen. Manches muss man eben einfach tun. Wenn wir immer nur an der Vergangenheit hängen, gibt es keine Zukunft. Dann müssen wir heute noch Mosaic unterstützen.

    Immer dieses Gerede von der Marktreife. Da sollte man gar keine Rücksicht drauf nehmen. SNI ist technisch reif, und in modernen Browsern und System verfügbar. Die Technik ist für den Endkunden also zu haben, und der wird auch updaten, wenn (beispielsweise) seine Bank ihn dazu zwingt.

    Hier auf IPv6 zu verweisen halte ich für falsch. Wir tauschen damit nur DNS-Pollution gegen IP-Pollution. Nur wegen massig Domains ganze IP-Blöcke auf ein und den selben Server zu legen, ist erklärter Unfug. Auch wenn es genug davon gibt.
     
    Zuletzt bearbeitet: 19. September 2012
  8. heutger

    heutger Eingetragener Provider

    Registriert seit:
    9. Oktober 2004
    Beiträge:
    233
    Ort:
    Fulda
    Firmenname:
    PSW GROUP
    Anbieterprofil:
    Klick
    AW: SSL-Verschlüsselung: Markt noch nicht reif für SNI (Server Name Indication)

    Das mag bei kleinen Unternehmen funktionieren, aber schau man sich große Unternehmen an, schau man sich öffentliche Einrichtungen an, Stichwort BSI-Grundschutz und was gemäß deren Kataloge genutzt werden darf. Abwärtskompatiblität ist seit eh und je Streitthema, aber es führte regelmäßig stets zu Problemen, wenn man sie ignoriert hat, so unlieb sie einem doch auch ist...
     

Diese Seite empfehlen