USA: Regierungs-Webseiten müssen auf HTTPS umstellen
US-Bürger sollen künftig abhörsicher auf Webseiten der Regierung surfen. Dabei will man mit HTTPS die Verbindung verschlüsseln und Daten vor Manipulationen schützen.
(Bild: Public Domain (US Government))
US-Präsident Barack Obama hat sich in einem Bericht an die Admins von Regierungs-Webseiten gewendet und die Verwendung von HTTPS verordnet. Alle entsprechenden Webseiten und Services müssen bis zum 31. Dezember 2016 umgestellt sein. Webseiten mit kritischen Inhalten sollen so schnell wie möglich umsteigen. Auf einer offiziellen Übersichts-Seite kann man sehen, wie viele der Regierungs-Seiten schon über HTTPS kommunizieren. Aktuell sind es 31 Prozent.
Neben der HTTPS-Umstellung, inklusive Forward Secrecy zum sicheren Schlüsselaustausch, müssen Admins auch HTTP Strict Transport Security (HSTS) aktiveren, damit Angreifer nicht in die Verbindung eingreifen und diese etwa auf HTTP herunterstufen können.
Bereits im Jahr 2008 ordnete die US-Regierung zur Wahrung der Authentizität und Integrität den Einsatz von Domain Name System Security Extensions (DNSSEC) an. Für den sicheren Abruf der Regierungs-Webseiten reiche das dem neuen Bericht zufolge aber nicht mehr aus und HTTPS soll diesen Ansatz weiter ausbauen. Zudem wird empfohlen, HTTPS auch in Intranets einzusetzen.
Im Bericht finden sich keine Angaben, welche Verschlüsselung und Authentifizierung zum Einsatz kommen sollen. Die Webseite der US-Regierung zum sogenannten The HTTPS-Only Standard setzt etwa bei der Verschlüsselung auf das sichere TLS-1.2-Verfahren. Dabei gelingt die Verschlüsselung und Wahrung der Integrität vorbildlich. (des)
