Bewertungsproblematik bei SSL-Zertifikaten
Rating A+ nur mit Extended Validation-Zertifikat: Richtige Konfiguration von SSL-Zertifikaten wertet Sicherheit von Webseiten auf
Nicht jeder erhält ein EV-Zertifikat, denn die Validierung ist sehr umfassend und setzt eine ausführliche Prüfung der Organisation voraus
(01.10.14) - Das kostenlose SSL-Check-Tool von Qualys SSL Labs erfreut sich bei Webseiten-Betreibern hoher Beliebtheit, um die Sicherheit ihrer SSL-verschlüsselten Webseite zu messen. Zur Bewertung werden verschiedene Parameter herangezogen, Ratings zwischen A bis F geben Auskunft über das Sicherheitslevel einer Webseite. Dabei steht "A+" für "ausgezeichnet" und "F" für "extrem unsicher".
"Nachdem bekannt wurde, dass Google HTTPS-verschlüsselte Webseiten in den Suchergebnissen stärker gewichten wird, wurden wir vermehrt mit der Frage konfrontiert, welche Kriterien erfüllt sein müssen, um die Note A+ zu erreichen. Tatsächlich erhalten nämlich die wenigsten Webseiten die Bestnote", macht Christian Heutger, Geschäftsführer der PSW Group, aufmerksam. Zurückzuführen sei dies auf ein Bewertungsproblem der Zertifikatsarten: Der vollautomatisierte Prüfprozess von Qualys SSL Labs behandelt Domain- und Organisations-validierte SSL-Zertifikate gleichwertig; Extended Validation-Zertifikate (EV) werden höher gewertet.
Nicht jeder erhält jedoch ein EV-Zertifikat, denn die Validierung ist sehr umfassend und setzt eine ausführliche Prüfung der Organisation voraus. EV-Zertifikate werden deshalb nur an Organisationen ausgestellt, die in einem öffentlichen Register eingetragen sind. "Das Check-Tool kann jedoch nicht den Zweck einer Webseite beurteilen und in die Kalkulation einbeziehen. Folglich besagen die Bewertungsalgorithmen des SSL-Tests, dass Domain XY ein Organisationsvalidiertes Zertifikat verwendet und damit nicht das bestmögliche. Dass das EV-Zertifikat nicht ausgestellt werden kann, bleibt unberücksichtigt", erklärt Heutger.
Die PSW Group hat einige Tipps zusammengestellt, wie Webseiten-Betreiber SSL-Zertifikate so konfigurieren können, dass die Sicherheit – und damit auch das Scoring bei Qualys SSL Labs – aufgewertet wird:
>> Private Keys sollten mindestens eine Schlüssellänge von 2048 Bit haben. Lange Schlüssel können wiederum die Performance der Website beeinträchtigen, deshalb raten die Experten zum Einsatz von ECDSA-Schlüssel.
>> Private Schlüssel gut schützen. Dieser sollte auf einem sicheren Rechner generiert werden und nicht von der Zertifizierungsstelle.
>> Zertifikate und Schlüssel regelmäßig erneuern. Wer sein SSL-Zertifikat übrigens bei der PSW Group bestellt, profitiert vom Erinnerungsservice, der rechtzeitig auf die neue Zertifikatsbestellung aufmerksam macht.
>> Das Zertifikat sollte sämtliche Namen abdecken, die für die Webseite verwendet werden sollen.
>> Auf die Zertifizierungsstellen achten. Bekannte, seriöse Zertifizierungsstellen (CAs) haben Vorrang vor unbekannten CAs und werden mit höherem Scoring bewertet. Die PSW Group arbeitet beispielsweise ausschließlich mit SSL-Zertifikaten namhafter Zertifizierungsstellen, wie GeoTrust, Thawte und Comodo.
>> Auf SSL v2 und v3 verzichten und sichere Protokolle nutzen. TLS 1.0 ist ausreichend, wenn die restliche Konfiguration absolut sicher ausfällt. Ideal sind TLS 1.1 oder 1.2 – für diese Protokollversionen sind derzeit keine Sicherheitseinschränkungen bekannt.
>> Perfect Forward Secrecy einbeziehen. Die Seite dabei komplett verschlüsseln, auch gemischte Inhalte. Häufig werden Inhalte wie JavaScript-Files, Bilder oder CSS-Dateien in die Seite integriert, ohne dass diese SSL-geschützt sind. Dies ermöglicht Man-in-the-middle-Attacken (MITM) und führt zu einem abgewerteten Rating. Auch Programmierfehler können die Bewertung negativ beeinflussen.
>> Verwendete Cookies müssen als sicher eingestuft werden können. Deshalb ist es sinnvoll Cookies über sichere HTTPS-Verbindungen zu übertragen. Fehler erlauben auch hier MITM-Attacken.
>> HTTP Strict Transport Security (HSTS) als Standard nutzen. Anwendungsprogramme werden so gezwungen, nur über verschlüsselte Verbindungen mit Websites zu kommunizieren. HSTS leitet von gängigen HTTP-Webseiten – die in der Regel vom Nutzer aufgerufen werden – auf verschlüsselte HTTPS-Seiten weiter.
(PSW Group: ra)
PSW Group: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.