Das „S“ in HTTPS steht nicht für SSL

Wenn in unserem Browser ein Vorhängeschlosssymbol angezeigt wird, können wir natürlich davon ausgehen, dass die Site SSL zum Schutz unserer Kommunikation verwendet. Darüber hinaus ist es offenbar auch ein Signal an die Verbraucher, dass die Site tatsächlich sicher ist. Dies geht sogar so weit, dass laut der Consumer Trust Survey 2015 des CA Security Council „nur drei Prozent ihre Kreditkarteninformationen an Websites ohne Vorhängeschloss-Symbol weitergeben würden.“

Die Auswirkungen beschränken sich nicht nur auf die Verbraucher. Die Teilnehmer unserer jüngsten Umfrage zum Stand der Application , die „SSL Everywhere“ bereits implementiert hatten oder dies planten, waren zuversichtlicher (3 oder höher auf einer Skala von 1 bis 5), dass ihr Unternehmen einem Angriff auf Application standhalten kann.

Die Wahrheit ist, dass die meisten Leute nicht sagen können, wofür SSL steht, geschweige denn, wie es funktioniert. Sie wissen jedoch, dass es sich um einen Mechanismus handelt, der die Sicherheit von Transaktionen (und damit potenziell vertrauliche Information) bei der Interaktion mit einer App oder Website gewährleistet.

Das ist teilweise unsere Schuld (im Sinne des Marktes). Wir haben SSL sowohl als Beschreibung des Protokolls ( RFC 6101 ) als auch als allgemeine Beschreibung einer sicheren Verbindung verwendet. SSL ist das Pflaster der Sicherheit, das Google der Suchmaschinen, das Kleenex der Taschentücher.

Die Realität ist, dass HTTPS eigentlich kein SSL erfordert. Das „S“ in „HTTPS“ steht für „sicher“ und erfordert lediglich eine Methode zum Sichern von Verbindungen zwischen zwei Endpunkten, beispielsweise einem Browser und einer Website. Zunehmend, das bedeutet eigentlich HTTP über TLS, nicht SSL.

Das ist ein wichtiger Unterschied, denn obwohl sie die Wurzeln teilen, ist TLS nicht SSL und nicht TLS. Es handelt sich um unterschiedliche Protokolle, jedes mit seinen eigenen einzigartigen Herausforderungen, Problemen und Auswirkungen. Beide sichern Verbindungen auf die gleiche Art und Weise – sie verwenden Zertifikate zur Authentifizierung und öffentliche/private Schlüsselpaare zur Verschlüsselung – aber die Implementierungsunterschiede bleiben bestehen.

Warum sollte es Sie interessieren? Sie sollten darauf achten, da die neuesten (und möglicherweise besten, das bleibt abzuwarten) Web Application (HTTP/2 und SPDY) SSL nicht unterstützen. Sie unterstützen TLS. Sie erfordern es nicht per se, aber Browserimplementierungen, die beides unterstützen, bieten nur Unterstützung über TLS. Kein SSL.

Zugegeben, heute verwenden noch nicht viele Websites HTTP/2 oder SPDY, aber die Zahl wächst. Bedenken Sie, dass 7,5 % der Top-1000-Websites mittlerweile Inhalte über HTTP/2 bereitstellen:

Von W3CTech (Juli 2015):

Der neue HTTP/2 -Standard, dessen endgültige Version im Mai 2015 veröffentlicht wurde, wird mittlerweile von 0,4 % aller Websites (gegenüber 0,24 % zu Monatsbeginn) und von 7,5 % der Top-1.000-Websites verwendet.

Bedenken Sie nun, dass wir nicht nur über Browser und Server sprechen. Wir müssen auch bedenken, was das für die Integration bedeutet – für die Verwendung von APIs von einigen der Top-1000-Sites (wie Google), die möglicherweise nicht nur die Verwendung von HTTP/2 oder SPDY, sondern auch von TLS erzwingen. Alle öffentlichen Dienste von Google, die Verschlüsselung anbieten, verwenden TLS. Wenn Sie einige Funktionen von Google integrieren, ist es Ihnen möglicherweise wichtig, dass diese TLS statt SSL verwenden. Weil es unter der Haube einen Unterschied macht.

Beachten Sie auch, dass dies geschäftliche Auswirkungen hat. Gemäß PCI kann SSL nach dem 30. Juni 2016 nicht mehr verwendet werden.  Danach ist TLS ausdrücklich erforderlich.  Das bedeutet, dass Sie einige Änderungen vornehmen müssen, um PCI-konform zu bleiben. Und das tun Sie natürlich, denn wenn Sie nicht konform sind, hat das eine ganze Reihe von Konsequenzen. Dies könnte beispielsweise zu höheren Gebühren für das Händlerkonto und zu Bußgeldern seitens der Kreditkartenaussteller oder zum völligen Entzug Ihrer Berechtigung zur Durchführung von Zahlungen und Transaktionen führen. Kommt es zu einem Verstoß, besteht für Ihr Unternehmen ein höheres Risiko von Klagen und Geldbußen, weil Sie in puncto Sicherheit nicht die gebotene Sorgfalt walten lassen.

Und schließlich gibt es noch dieses sehr deutlich formulierte RFC ( RFC 7568 ), das klar darlegt, warum Sie wirklich auf TLS umsteigen sollten:

3.  Verwenden Sie nicht SSL Version 3.0

   SSLv3 darf NICHT verwendet werden .  Aushandlung von SSLv3 von jeder Version von TLS

   DARF NICHT erlaubt sein .

   Jede Version von TLS ist sicherer als SSLv3 , obwohl die höchste

   Die verfügbare Version ist vorzuziehen .

Sie können nicht davon ausgehen, dass Sie sofort loslaufen und von SSL auf TLS umsteigen. Denn obwohl TLS auf SSL v3 basiert, ist es nicht hundertprozentig abwärtskompatibel zu seinem Vorgänger und es sind einige Konfigurationsänderungen erforderlich, um SSL zu deaktivieren und die Verwendung von TLS zu erzwingen. Konfigurationsänderungen, die im Allgemeinen einen Neustart erfordern. In einer großen Umgebung ist dieser Prozess verständlicherweise störend und zeitaufwändig.

Doch es ist an der Zeit, ernsthaft darüber nachzudenken, wie lange Sie SSL unterstützen möchten und wann Sie auf reines TLS umsteigen möchten.