TLS-Sicherheit: Viele Webserver müssen nachholen

Das Institut für Internet-Sicherheit if(is) hat die Qualität der Verschlüsselung bei der Datenübertragung untersucht und bietet sein Tool öffentlich an.

Artikel verschenken

3

01.07.2019, 10:02 Uhr

Lesezeit: 13 Min.

iX Magazin

Von

Johannes Meng
Prof. Norbert Pohlmann

TLS-Sicherheit: Viele Webserver müssen nachholen
- Sichere Protokollversionen und Einstellungen
- Auf sichere TLS-Einstellungen achten
- Extended-Validation-Zertifikate
Die sechs Verschlüsselungs-Protokolle
Ergebnisse der 50 relevantesten Webseiten in Deutschland
Fazit

Artikel in iX 7/2019 lesen

Die im Mai 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) verpflichtet alle in der EU tätigen Unternehmen, den "Datenschutz durch Technikgestaltung" zu gewährleisten. Dazu zählt insbesondere, personenbezogene Daten beim Übertragen übers Internet mittels TLS (Transport Layer Security) zu schützen. Das zwar veraltete, aber zum Teil immer noch eingesetzte Vorgängerprotokoll SSL (Secure Sockets Layer) ist im Folgenden einbezogen.

Die Verschlüsselung der zu übertragenden Daten mittels TLS dient dreierlei Zielen: Sie verhindert erstens den Zugriff durch Dritte während des Transports. Zweitens findet die Kommunikation integritätsgesichert statt; niemand kann den Datenverkehr unbemerkt manipulieren. Die dritte Funktion ist die Authentifizierung der Kommunikationspartner. TLS gewinnt also aus gutem Grund rasch an Beliebtheit: Von 2016 bis 2019 hat sich der Anteil der damit im Web geschützten Verbindungen auf über 75 Prozent ungefähr verdreifacht.

Der Anteil der TLS-Verbindungen im Web steigt seit Jahren an.

(Bild: httparchive.org)

TLS kommt also bei Milliarden von Verbindungen täglich zum Einsatz. Das Testverfahren bestätigt jedoch den Eindruck, dass die Sicherheit häufig zu wünschen übrig lässt – lauern doch einige Fallen beim Konfigurieren: Überholte Protokollversionen lassen einige Angriffsmöglichkeiten zu, der Einsatz veralteter Verschlüsselungsmethoden (Cipher Suites) gefährdet die Datensicherheit und falsch konfigurierte Parameter lassen Einfallstore für Angreifer offen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Eine unkomplizierte Heranführung an Wärmepumpen-Nutzung: Was brauchen Sie? Was ist wichtig? Und wie können Sie das einigermaßen simpel halten?

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Mit KI-Sprechtrainern lassen sich Konversationen auf einer anderen Sprache wie mit einem richtigen Menschen führen – ohne Angst, sich zu blamieren.

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

Der MG4 ist das meistverkaufte Elektroauto aus China. Mit der größeren Batterie wird es deutlich teurer, doch wie viel weiter kommt man nach dem Upgrade?

Herkömmliche Raumthermostate clever ins Smart Home integrieren

Bestehende, nicht Smart-Home-fähige Thermostate werden zu maßgeschneiderten Wächtern über die Raumtemperatur. Außen schick und mit Touchkeys, innen ein ESP32.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Eine unkomplizierte Heranführung an Wärmepumpen-Nutzung: Was brauchen Sie? Was ist wichtig? Und wie können Sie das einigermaßen simpel halten?

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Mit KI-Sprechtrainern lassen sich Konversationen auf einer anderen Sprache wie mit einem richtigen Menschen führen – ohne Angst, sich zu blamieren.

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

Der MG4 ist das meistverkaufte Elektroauto aus China. Mit der größeren Batterie wird es deutlich teurer, doch wie viel weiter kommt man nach dem Upgrade?

Herkömmliche Raumthermostate clever ins Smart Home integrieren

Bestehende, nicht Smart-Home-fähige Thermostate werden zu maßgeschneiderten Wächtern über die Raumtemperatur. Außen schick und mit Touchkeys, innen ein ESP32.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

TLS-Sicherheit: Viele Webserver müssen nachholen

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

Herkömmliche Raumthermostate clever ins Smart Home integrieren

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

Herkömmliche Raumthermostate clever ins Smart Home integrieren

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.