KRACK-Attacke unterstreicht die Notwendigkeit der Website-Sicherheit durch ein SSL bzw. TLS Zertifikat
- Am 18. Oktober 2017 In Allgemein, Webdesign
Ist Ihre Seite sicher? Sind Ihre Website-Besucher auf Ihrer Seite sicher?
Werden Daten, z. B. aus dem Shop, Kontaktformular etc., privat/verschlüsselt übertragen? Oder wird auf Ihrer Website noch alles im Klartext übermittelt?
Wir möchten Ihnen jetzt keinen technischen Vortrag präsentieren, sondern auf den Nutzen für Sie und Ihre Kunden eingehen.
Zunächst etwas Formales: SSL ist genau genommen ein inzwischen veraltetes und nicht zu empfehlendes Verschlüsslungsprotokoll, aktuelle Sicherheitszertifikate sollen nur noch nach dem TLS-Protokoll verschlüsselt werden. Aus diesem Grund werde ich auch nur noch den Begriff TLS verwenden.
Was macht TLS?
Nehmen wir an, Sie betreiben einen Onlineshop. Ein Kunde bestellt von Zuhause über sein Tablet bei Ihnen. An der Webshop-Kasse wird er aufgefordet, seine Kontodaten einzugeben. In dem Moment, in dem der Kunde auf „Kaufen“ klickt, werden alle Daten an Sie übermittelt. Auf dem Weg zu Ihnen können die Daten abgefangen werden, z. B. durch ein gehaktes WLAN und dann ohne Probleme gelesen werden. TLS verhindert bzw. erschwert dies. ALLE übertragenen Daten zwischen dem Kunden und Ihrer Website werden verschlüsselt und sind so, selbst für einen „mitlesenden“ Haker, nicht zu verstehen. Die Daten sind sicher und privat.
Wie erkennen Sie als Nutzer, ob eine Website sicher ist?
Jeder Browser verhält sich etwas anders: der Edge z. B. zeigt in der Adresszeile vor der URL (z. B. www.we-concept.de) ein Schloss. Chrome und Firefox färben das Schloss zusätzlich grün ein, Chrome schreibt darüber hinaus noch „sicher“ dazu. Der alte Internet-Explorer begnügt sich mit dem bloßen Anzeigen von „https“. Sollten Sie auf einer Seite ohne https:// bzw. dem Schloss surfen, dann sollten Sie auf die Übermittlung sensibler Daten verzichten.
Brauchen Sie TLS?
Inzwischen muss diese Antwort uneingeschränkt mit „Ja“ beantwortet werden. Weshalb? Ein aktueller Anlass unterstreicht die Wichtigkeit: KRACK (Begriffserklärung: s.Glossar). KRACK zeigt, dass selbst WPA2 gesicherte WLAN-Netzwerke anfällig sind. Doch Angreifer können nur mit unverschlüsselten Daten etwas anfangen. Wenn Sie als Benutzer auf TLS gesicherten Seiten unterwegs sind, sind Ihre übertragenen Daten verschlüsselt und somit für „KRACKer“ unbrauchbar. Insofern ist es mehr als wünschenswert, dass ALLE Websitebetreiber Ihre Website sichern! Ob es noch einen Grund gibt? Ja, denn die Browserhersteller gehen dazu über, Websites ohne Verschlüsselung nur noch als Websites zweiter und dritter Klasse zu behandeln. Angefangen von dem Hinweis „unsicher“, der neben Ihrer Domains prangt, bevorzugt beispielsweise Google verschlüsselte Websites. Das bedeutet, dass die Sichtbarkeit unverschlüsselter Websites sinkt, diese Websites also im Google Ranking weiter unten aufgeführt werden. So können Sie übrigens einen Vorteil gegenüber Ihren Mitbewerbern erlangen, sollten diese dem Stand der Technik hinterher hinken und noch unverschlüsselt übertragen, während Sie TLS-verschlüsseln.
Wie können Sie Ihre Seite sichern?
Es muss zuerst ein entsprechendes Zertifikat von einer anerkannten Zertifizierungsstelle (Certification Authorities (CA)) ausgestellt werden. Dieses Zertifikat, welches die Echtheit der Domain sichert, muss dann auf Ihrer Domain installiert werden. Im zweiten Schritt muss Ihre Website selber auf https umgestellt werden.
Wir können Ihre Website sichern.
Wir beantragen und installieren das TLS-Zertifikat auf Ihrer Domain und stellen Ihre Website auf https um.
Weiterführende Informationen zum Thema SSL/TLS-Zertifikate für Interessierte
Welche SSL bzw. TLS Zertifikatarten gibt es?
Domainvalidiert
Beim domainvalidierten Zertifikat wird der Whois-Eintrag der Domain geprüft. Damit wird sichergestellt, dass der Zertifikatanstragsteller auch der Domaininhaber ist. Die Verschlüsselung der übertragenen Daten ist sicher.
Organisation Validation
Es wird zusätzlich zur Domainvalidierung eine Identitätsprüfung vorgenommen. Ein Unternehmen muss entsprechende Dokumente vorlegen, z. B. ein Handelsregisterauszug, Bankdaten. Zudem wird telefonischer Kontakt aufgenommen. Zusätzlich zum Domainnamen wird unter dem Zertifikatsinhaber der Unternehmensname und Ort angezeigt.
Extended Validation
Dieses Zertifikat enthält neben den Elementen der Domain- und Organisation-Validation ein weiteres Feature: eine grüne Adresszeile. Dies soll dem Benutzer noch deutlicher zeigen, dass die Verbindung zur Website sicher ist. In der grünen Adresszeile ist noch der Unternehmensname vermerkt.
Wildcards
Jedes Zertifikat ist grundsätzlich für genau eine Domain gültig. So müssen auch Subdomains, z. B. shop.meineDomain.de, ein eigenes Zertifikat erhalten. Für Websitebetreiber mit vielen Subdomains kann dies schnell sehr teuer werden. Für diesen Fall stellen die Zertifizierungsstellen gegen Aufpreis die Wildcard-Version zur Verfügung. Diese deckt sowohl eine Hauptdomain als auch deren Subdomains ab. Wildcards gibt es für die Domain- und Organisation Validation.
Glossar
Klartext
Alle Daten, wie vom Kunden über Ihre Website an Sie geschickt werden, werden ohne Chiffrierung (Verschlüsselung) übertragen.
KRACK
Im Oktober 2017 veröffentlichten Wissenschaftler der KU Leuven eine Angriffsmöglichkeit auf WPA2 gesicherte Verbindungen, was die WPA2-Entschlüsselung von Datenpaketen ermöglicht und so für Angreifer lesbar werden. Nur wenn innerhalb der WPA2-Verschlüsselung nochmals verschlüsselt wird, z. B. durch TLS, sind die Daten weiterhin geschützt – trotz KRACK.
TLS
Transport Layer Security (TLS, englisch für Transportschichtsicherheit), weitläufiger bekannt unter der Vorgängerbezeichnung Secure Sockets Layer (SSL).
WPA
Wi-Fi Protected Access (WPA) ist eine Verschlüsselungsmethode für ein Drahtlosnetzwerk (Wireless LAN), um es vor unbefugten Zugriffen zu schützen. Ein WPA2 verschlüsseltes WLAN wird durch ein mindestens 8 Zeichen langes Passwort geschützt.
Kontakt
Wenn Sie Fragen zum Thema SSL / TLS haben oder Sie eine Absicherung Ihrer Seite durch uns wünschen, dann rufen Sie uns an, schreiben Sie uns eine E-Mail oder nutzen Sie einfach das folgende Formular und wir setzen uns mit Ihnen in Verbindung.
[si-contact-form form=’2′]
030 31 98 67 – 04
0 Kommentare