zurück zum Artikel

SSL Pulse protokolliert Sicherheit von Webseiten

Robert Lippert

Ein unabhĂ€ngiges Projekt bereitet den sicherheitstechnischen Zustand der wichtigsten Websites im Netz grafisch auf. Das soll die Aufmerksamkeit von Entwicklern erhöhen und so zu sichereren SSL-Implementierungen fĂŒhren.

Das Trustworthy Internet Movement [1], eine eigenen Angaben nach unabhĂ€ngige und nicht profitorientierte Organisation rund um das Thema Internetsicherheit, hat mit SSL Pulse [2] eine Website vorgestellt, die den aktuellen Stand in Sachen SSL-Implementierung von rund 200.000 der populĂ€rsten Websites weltweit (gemĂ€ĂŸ Alexa-Ranking [3]) grafisch aufbereitet.

Nach einem ersten Durchlauf habe die Analyse der Daten ergeben, dass nur knapp 10 Prozent der geprĂŒften Websites ĂŒber (im Rahmen der erfassten Datenpunkte) wirklich sichere SSL-Implementierungen verfĂŒgen. Im Wesentlichen hĂ€tten die Tester zwei Problemfelder ausgemacht: Zum einen wĂŒrde von vielen Seiten eine unsichere SSL-Neuverhandlung verwendet, und zum anderen seien viele Server anfĂ€llig fĂŒr BEAST-Angriffe (spezielle Plaintext-Angriffe, benannt nach dem von Thai Duong und Juliano Rizzo vorgelegten [4] Proof-of-Concept "Browser Exploit Against SSL/TLS", BEAST).

Das Problem mit der Neuverhandlung wĂŒrde nach Ansicht von Experten kontinuierlich abnehmen, zumal man ihm mit einfachen Patches beikommen könnte. Sorgen machen den Testern vielmehr die fĂŒr BEAST-Angriffe zugĂ€nglichen Schwachstellen, da diese sich nur ĂŒber Konfigurationseinstellungen beheben ließen. Das erfordere jedoch einschlĂ€giges Fachwissen, Zeit und generell das Wissen um die Schwachstelle – eine schnelle Lösung sei damit nicht in Sicht.

SSL Pulse soll kĂŒnftig in regelmĂ€ĂŸigen AbstĂ€nden neue Daten erheben und damit die Entwicklung und Verbreitung sicherer SSL-Implementierungen dokumentieren. ()

URL dieses Artikels:
https://www.heise.de/-1569214

Links in diesem Artikel:
[1] https://www.trustworthyinternet.org/
[2] https://www.trustworthyinternet.org/ssl-pulse/
[3] http://www.alexa.com/topsites
[4] https://www.heise.de/news/Erste-Loesungen-fuer-SSL-TLS-Schwachstelle-1349687.html

Copyright © 2012 Heise Medien