HSTS: Absicherung gegen Angriffe auf SSL-Verbindungen

Die Internet Engineering Task Force (IETF) will mit der HTTPS-Sicherung HTTP Strict Transport Security (HSTS) Angriffe auf SSL-Verbindungen erschweren. Der Standard wurde nun im RFC 6797 veröffentlicht.

Mit HSTS können einerseits (HTTP-)Server vorgeben, dass man die angebotenen Dienste ausschließlich über sichere, etwa per TLS verschlüsselte Verbindungen erreicht. Andererseits zwingt HSTS auch Anwendungsprogramme (User Agents) dazu, die Kommunikation mit Websites nur über verschlüsselte Verbindungen abzuwickeln.

HSTS richtet sich hauptsächlich gegen die von Moxie Marlinspike beschriebenen Attacken auf SSL-geschützte Websites. Damit dieser Schutz erfolgreich ist, müssten aber weitere Maßnahmen folgen. (jk)