Bewertungsproblematik bei SSL-Zertifikaten
Rating A+ nur mit Extended Validation-Zertifikat: Richtige Konfiguration von SSL-Zertifikaten wertet Sicherheit von Webseiten auf
Nicht jeder erhält ein EV-Zertifikat, denn die Validierung ist sehr umfassend und setzt eine ausführliche Prüfung der Organisation voraus
(01.10.14) - Das kostenlose SSL-Check-Tool von Qualys SSL Labs erfreut sich bei Webseiten-Betreibern hoher Beliebtheit, um die Sicherheit ihrer SSL-verschlüsselten Webseite zu messen. Zur Bewertung werden verschiedene Parameter herangezogen, Ratings zwischen A bis F geben Auskunft über das Sicherheitslevel einer Webseite. Dabei steht "A+" für "ausgezeichnet" und "F" für "extrem unsicher".
"Nachdem bekannt wurde, dass Google HTTPS-verschlüsselte Webseiten in den Suchergebnissen stärker gewichten wird, wurden wir vermehrt mit der Frage konfrontiert, welche Kriterien erfüllt sein müssen, um die Note A+ zu erreichen. Tatsächlich erhalten nämlich die wenigsten Webseiten die Bestnote", macht Christian Heutger, Geschäftsführer der PSW Group, aufmerksam. Zurückzuführen sei dies auf ein Bewertungsproblem der Zertifikatsarten: Der vollautomatisierte Prüfprozess von Qualys SSL Labs behandelt Domain- und Organisations-validierte SSL-Zertifikate gleichwertig; Extended Validation-Zertifikate (EV) werden höher gewertet.
Nicht jeder erhält jedoch ein EV-Zertifikat, denn die Validierung ist sehr umfassend und setzt eine ausführliche Prüfung der Organisation voraus. EV-Zertifikate werden deshalb nur an Organisationen ausgestellt, die in einem öffentlichen Register eingetragen sind. "Das Check-Tool kann jedoch nicht den Zweck einer Webseite beurteilen und in die Kalkulation einbeziehen. Folglich besagen die Bewertungsalgorithmen des SSL-Tests, dass Domain XY ein Organisationsvalidiertes Zertifikat verwendet und damit nicht das bestmögliche. Dass das EV-Zertifikat nicht ausgestellt werden kann, bleibt unberücksichtigt", erklärt Heutger.
Die PSW Group hat einige Tipps zusammengestellt, wie Webseiten-Betreiber SSL-Zertifikate so konfigurieren können, dass die Sicherheit und damit auch das Scoring bei Qualys SSL Labs aufgewertet wird:
>> Private Keys sollten mindestens eine Schlüssellänge von 2048 Bit haben. Lange Schlüssel können wiederum die Performance der Website beeinträchtigen, deshalb raten die Experten zum Einsatz von ECDSA-Schlüssel.
>> Private Schlüssel gut schützen. Dieser sollte auf einem sicheren Rechner generiert werden und nicht von der Zertifizierungsstelle.
>> Zertifikate und Schlüssel regelmäßig erneuern. Wer sein SSL-Zertifikat übrigens bei der PSW Group bestellt, profitiert vom Erinnerungsservice, der rechtzeitig auf die neue Zertifikatsbestellung aufmerksam macht.
>> Das Zertifikat sollte sämtliche Namen abdecken, die für die Webseite verwendet werden sollen.
>> Auf die Zertifizierungsstellen achten. Bekannte, seriöse Zertifizierungsstellen (CAs) haben Vorrang vor unbekannten CAs und werden mit höherem Scoring bewertet. Die PSW Group arbeitet beispielsweise ausschließlich mit SSL-Zertifikaten namhafter Zertifizierungsstellen, wie GeoTrust, Thawte und Comodo.
>> Auf SSL v2 und v3 verzichten und sichere Protokolle nutzen. TLS 1.0 ist ausreichend, wenn die restliche Konfiguration absolut sicher ausfällt. Ideal sind TLS 1.1 oder 1.2 für diese Protokollversionen sind derzeit keine Sicherheitseinschränkungen bekannt.
>> Perfect Forward Secrecy einbeziehen. Die Seite dabei komplett verschlüsseln, auch gemischte Inhalte. Häufig werden Inhalte wie JavaScript-Files, Bilder oder CSS-Dateien in die Seite integriert, ohne dass diese SSL-geschützt sind. Dies ermöglicht Man-in-the-middle-Attacken (MITM) und führt zu einem abgewerteten Rating. Auch Programmierfehler können die Bewertung negativ beeinflussen.
>> Verwendete Cookies müssen als sicher eingestuft werden können. Deshalb ist es sinnvoll Cookies über sichere HTTPS-Verbindungen zu übertragen. Fehler erlauben auch hier MITM-Attacken.
>> HTTP Strict Transport Security (HSTS) als Standard nutzen. Anwendungsprogramme werden so gezwungen, nur über verschlüsselte Verbindungen mit Websites zu kommunizieren. HSTS leitet von gängigen HTTP-Webseiten die in der Regel vom Nutzer aufgerufen werden auf verschlüsselte HTTPS-Seiten weiter.
(PSW Group: ra)
PSW Group: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.