SSL: Mit der richtigen Konfiguration immer noch sicher

Security_xy
Internet Security Technologies.

Internet Security Technologies.

SSL steht unter Druck: Schwachstellen und erfolgreiche Angriffe haben die Schutzwirkung des allgegenwärtigen Protokolls in den letzten Monaten in Frage gestellt. Das im Internet fast überall als Basisschutz eingesetzte SSL-Protokoll (Secure Socket Layer) hat es im Moment nicht leicht. Mit DROWN (Decrypting RSA with Obsolete and Weakened Encryption) ist innerhalb kürzester Zeit ein weiterer, erfolgreicher Angriff auf das Protokoll aufgetaucht, der viele Admins zum Handeln zwingt.

Dass SSL im Mittelpunkt so vieler Angriffe steht, ist kritischer als viele annehmen. SSL, beziehungsweise sein Nachfolger TLS (Transport Layer Security), sind auch für die Sicherung einer ganzen Reihe weiterer Dienste im Internet zuständig. Die meisten E-Mail- und FTP-Clients unterstützen beispielsweise eine SSL/TLS-Variante und für VPNs auf SSL-Basis sind solche Sicherheitslücken absolut unakzeptabel. dass es so viele Probleme gibt ist eigentlich kein Wunder: SSL wurde in den Neunzigern von Programmierern bei Netscape entwickelt, im Rahmen der Arbeiten zum ersten massentauglichen Browser Mosaic. Zeitdruck und ein gänzlich anderes Sicherheitsverständnis als heute sorgten dafür, dass SSL ein relativ simples Protokoll wurde.

Die ersten Attacken auf SSL zielten vor allem auf die Authentisierung über Zertifizierungsstellen (engl. Certificate Authorities, CA) ab. Seit einiger Zeit stehen allerdings das Protokoll und seine Implementierung in Fokus. Drown ist nur das aktuellste Beispiel aus einer recht umfangreichen Liste von Schwachstellen, wie beispielsweise Heartbleed, Poodle oder Beast. Die Häufung der aufgedeckten Schwachstellen liegt vor allem an den veränderten technischen Möglichkeiten. Vor 20 Jahren stand die heutige Rechenleistung einer Amazon S3 Cloudinstanz vielleicht Regierungsorganisationen zur Verfügung aber sicher keinem der damals ohnehin deutlich harmloseren Cyberkriminellen.

Standard-Sicherheitsmaßnahmen einsetzen

So richtig wird sich das Problem wahrscheinlich erst mit der flächendeckenden Einführung von TLS 1.3 lösen lassen. Bis dahin gibt es in der Regel für alle explizit benannten Schwachstellen auch eine direkte Abhilfe: einen Patch oder Konfigurationsanpassungen. Ansonsten gelten für den Betrieb von SSL-Servern die gleiche Best Practices wie für jeden anderen, über das Internet erreichbaren, Dienst. Mindestanforderungen an Verschlüsselung und Protokollversionen sollten so hoch wie möglich sein, das Betriebssystem gehärtet und auf die Dienste reduziert, die wirklich unbedingt auf diesem Host benötigt werden.