SSL/TLS: Best-Practice-Monitoring mit nur drei Klicks!

Inhalt

Während es in Ordnung geht die Urlaubsgrüße an die Großeltern offen und für alle lesbar auf einer Postkarte zu versenden, ist es eine weniger gute Idee das Gleiche mit den Kreditkartendaten der Kunden zu tun. Eine sichere Ende-zu-Ende-Verschlüsselung in der Kommunikation zwischen Ihrer Webseite und den Besuchern ist zwingend notwendig und rechtlich vorgeschrieben. Dank SSL/TLS ist es heute prinzipiell ein Kinderspiel, eine verschlüsselte Verbindung anzubieten. Kleine Fallstricke bringen Webhoster jedoch immer wieder ins Straucheln, sodass Hackern die Möglichkeit eröffnet wird, trotz des Einsatzes von SSL/TLS die Kommunikation mitzuhorchen. Das SSL/TLS-Best-Practice-Monitoring von Enginsight behält Ihre SSL/TLS-Konfiguration im Blick, sodass Sie sicher sein können, dass Cyberkriminelle keine sensiblen Kommunikationen belauschen. Erfahren Sie alles über die Grundlagen von SSL/TLS und wie Sie Ihr Best-Practice-Monitoring mit nur drei Klicks einrichten.

Grundlagen zur sicheren Verschlüsselung

Um die Funktionsweise von SSL/TLS nachzuvollziehen, ist es notwendig, dass Sie sich einige Grundlagen der Kryptografie vergegenwärtigen. Mit einem Grundverständnis von symmetrischen und asymmetrischen Verschlüsselungsverfahren sowie der Funktionsweise von Hashfunktionen lässt sich SSL/TLS besser verstehen.

Was sind symmetrische und asymmetrische Verschlüsselungsverfahren?

Bei symmetrischen Verschlüsselungsverfahren haben die Kommunikationspartner einen gemeinsamen, identischen Schlüssel zur Ver- und Entschlüsselung der Nachrichten (gemeinsames Geheimnis). Der Vorteil symmetrischer Verschlüsselungsverfahren liegt in der guten Performance: Nachrichten lassen sich sehr schnell entschlüsseln. Das Grundproblem ist jedoch, dass es einen sicheren Übertragungsweg für den Schlüsseltausch geben muss.

Asymmetrische Verschlüsselungsverfahren hingegen funktionieren über private und geheime Schlüssel, über die jeweils beide Kommunikationspartner verfügen. Der öffentliche Schlüssel ist für alle sichtbar und zugänglich. Mit ihm lassen sich Nachrichten verschlüsseln, jedoch nicht entschlüsseln. Es handelt sich um eine Einwegfunktion. Die Entschlüsselung ist ausschließlich mit dem privaten Schlüssel möglich. Der Vorteil asymmetrischer Verfahren liegt darin, dass kein Schlüsseltauschproblem vorhanden ist. Allerdings ist die Entschlüsselung der Nachrichten sehr rechenaufwendig, weshalb asymmetrische Verfahren eine schlechte Performance haben.

Was ist eine Hashfunktion?

Mit einer Hashfunktion lassen sich Daten in einen bestimmten Hashwert umwandeln, der ausschließlich zu den Daten, die in die Funktion eingegeben wurde, passt. Aus dem Hashwert lassen sich jedoch die Daten, die in die Funktion gegeben wurden, nicht mehr rekonstruieren bzw. zurückrechnen. Hierzu wird eine Einwegfunktion verwendet. Hashfunktionen kommen zum Beispiel zum Einsatz, um effektiv zu überprüfen, ob Daten verändert wurden oder um Passwörter verschlüsselt zu speichern.

Was ist SSL/TLS und wie wird es sicher?

Secure Sockets Layer (SSL) bzw. Transport Layer Security (TLS) ist das Standardprotokoll zur verschlüsselten Datenübertragung im Internet. Am bekanntesten ist die Anwendung Hypertext Transfer Protocol Secure (HTTPS), dem verschlüsselten Kommunikationsprotokoll im Word Wide Web. SSL/TLS wird jedoch auch für andere Fälle angewendet, zum Beispiel IMAPS, FTPS, OpenVPN.

Protokolle und Versionen

Schon 1994 stelle Netscape Communications die erste Version von SSL fertig. Seitdem wurde die Technologie stetig weiterentwickelt und verbessert. 1999 wurde es in TLS umbenannt.

Monitoring der SSL/TLS-Versionen
Enginsight überprüft die unterstützten Protokolle und gleicht sie mit der Best Practice ab. (Anklicken zum Vergrößern)

Heute wird…

  • nicht mehr empfohlen: SSL 1.0 (1994), SSL 2.0 (1995), SSL 3.0 (1996), TLS 1.0 (1999), TLS 1.1 (2006):
  • empfohlen: TLS 1.2 (2008), TLS 1.3 (2018)

Eine sichere Konfiguration Ihrer SSL/TLS-Verbindung ist jedoch leider nicht mit der Verwendung eines aktuellen Protokolls erledigt.

Zertifikate

Zertifikate stellen sicher, dass der Besucher der Webseite sich tatsächlich direkt mit dem Server verbindet und kein Dritter sich als Man-in-the-Middle dazwischengeschaltet hat. Die Authentizität bestätigt eine Zertifizierungsstelle. Zertifikate werden stets nur für einen bestimmten Zeitraum ausgegeben. Daher ist es wichtig, die Gültigkeit des Zertifikats im Blick zu behalten.

SSL/TLS: Ein hybrides Verschlüsselungsprotokoll

Um die Vorteile symmetrischer und asymmetrischer Verschlüsselungsverfahren zu nutzen und die Nachteile auszugleichen, setzt SSL/TLS auf ein hybrides Modell, dass beide Verfahren kombiniert. Zur Authentifizierung und für den Schlüsselaustausch setzt SSL/TLS auf asymmetrische Verfahren, während die Verschlüsselung der ausgetauschten Daten an sich mit einem symmetrischen Verfahren umgesetzt ist. Darüber hinaus wird die Integrität durch eine Hashfunktion abgesichert.

  1. Authentifizierung durch Zertifikatsprüfung (asymmetrisch)
    Der Server bestätigt durch ein asymmetrischen Kryptoverfahren mittels Public Key-Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle ausgegeben wurde, seine Identität.
  2. Schlüsselaustausch (asymmetrisch)
    Mit dem asymmetrischen Diffie-Hellmann-Verfahren wird der Schlüssel (gemeinsames Geheimnis) getauscht, der für die Verschlüsselung der eigentlichen Kommunikation genutzt wird. Das ermöglicht den zwei Kommunikationspartnern über eine öffentliche Leitung einen gemeinsamen Schlüssel vereinbaren zu können, den nur sie kennen und den ein potenzieller Abhörer nicht berechnen kann.
  3. Verschlüsselung der Kommunikation (symmetrisch)
    Mithilfe des gemeinsamen Schlüssels wird die Kommunikation abgesichert. Je länger der Schlüssel ist, desto sicherer ist die Kommunikation (z.B. 128, 192, 256 Bit). Zum Einsatz kommt beispielsweise der Advanced Encryption Standard (AES).
  4.  Absicherung der Integrität (Hashfunktion)
    Über einen Keyed-Hash Message Authentication Code (HMAC), der aus den übertragenen Daten abgeleitet ist, wird sichergestellt, dass die Daten während der Übertragung nicht verändert wurden. Weicht der empfange HMAC von dem eigens berechneten Hashwert ab, ist dies ein Hinweis auf Manipulation oder Fehlübertragung. Zum Einsatz kommt bspw. der Algorithmus SHA-384.

Chiffrensammlungen: Festlegung der Verschlüsselungs- und Authentifizierungsverfahren

Mit Chiffrensammlungen bzw. Cipher Suites legen Sie fest, welche Algorithmen Ihr Server zur Verschlüsselung via SSL/TLS anbietet. Verbindet sich ein Client mit dem Server, führen diese einen SSL/TLS-Handshake durch. Dabei informiert der Client den Server darüber, welche Cipher Suites er prinzipiell unterstützt. Der Server gleicht diese Liste mit den von ihm unterstützten Chiffren ab. Findet er eine Übereinstimmung, wird die Verbindung hergestellt, ansonsten lehnt der Server die Verbindung ab.

Monitoring der SSL/TLS-Chiffren
Enginsight überprüft die angebotenen Chiffren und gleicht sie mit der Best Practice ab. (Anklicken zum Vergrößern)

Damit in der Regel eine Verbindung zustande kommt, muss der Server mehrere Ciphers unterstützten. Prinzipiell auch solche Chiffren, die nicht auf die momentan besten Algorithmen zurückgreifen. Niemals jedoch sollten Ciphers angeboten werden, die unsicher sind.

Eine Chiffre ist folgendermaßen aufgebaut:

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ProtokollSchlüsselaustauschAuthentifizierung Verschlüsselung der KommunikationHashfunktion
 asymmetrisch  symmetrisch

Konfigurationen

Neben der Verwendung sicherer Protokolle und Zertifikate sollten Sie einen Blick auf die weiteren Konfigurationen werfen. Erst wenn Sie auch hier die richtigen Einstellungen wählen, sind Sie auf der sicheren Seite.

  • TLS Kompression deaktivieren
    Mit der Kompression können die übertragenen Daten vor der Verschlüsselung komprimiert werden. Wenn ein Angreifer Teile des Klartextes kennt, kann er durch die Größe der komprimierten Nachricht Rückschlüsse auf unbekannte Inhalte ziehen. (zum Beispiel CRIME)
  • Secure Renegotiation aktivieren
    Secure Renegotiation stellt sicher, dass keine Überlastung möglich ist, wenn ein Client ständig neue Schlüssel anfordert. Anfragen werden dann geblockt und eine DDos-Attacke verhindert.
  • Perfect Forward Secrecy (PFS) aktivieren
    Perfect Forward Secrecy stellt sicher, dass der jeweils neu ausgehandelte Sitzungsschlüssel nicht aus dem Langzeitschlüssel rekonstruiert werden kann.
  • setzen
    Mit dem HTTP-Header Strict Transport Security legen Sie fest, dass sich Ihre Webseite nur mit verschlüsselter Verbindung (HTTPS) aufrufen lässt.
  • DNS: CAA-Record
    Mit einem CAA-Record legt der Domaininhaber fest, welche Certificate Authority Authorization ein SSL/TLS-Zertifikat ausstellen darf.

Cyber-Attacken auf SSL/TLS

Die Verwendung veralteter SSL/TLS-Protokolle, unsicherer Chiffren oder falsch vorgenommene Konfigurationen machen die SSL/TLS-Verbindung anfällig für Cyber-Attacken.

Dazu zählen unter anderem:

  • DROWN
    Mit Hilfe des veralteten SSLv2 lässt sich aufgezeichneter TLS-Traffic knacken.
  • FREAK
    Bei einer FREAK-Attacke werden die Kommunikationspartner dazu gebracht, sich auf eine unsichere Verschlüsselungsmethode zu einigen, obwohl sichere Verfahren zu Verfügung stehen.
  • Logjam
    Indem eine Schwachstelle im Diffie-Hellman-Schlüsselaustausch ausgenutzt wird, kommen Angreifer an die geheimen Schlüssel.
  • Poodle
    Poodle-Attacken nutzen eine Sicherheitslücke in SSL 3.0, sodass verschlüsselte Informationen einer SSL 3.0 Verbindung offengelegt werden können.
  • SLOTH
    Schwache Hashfunktionen (MD5, SHA-1) erlauben eine SLOTH (Security Losses from Obsolete and Truncated Transcript Hashes) Attacke.
  • Sweet32
    Die Stream-Chiffre RC4 macht die Verbindung anfällig für Sweet32 Attacken.

Datenschutzgrundverordnung (DSGVO) einhalten

Mit der Datenschutzgrundverordnung (DSVGO) wurde die Verwendung einer sicheren HTTPS-Verbindung mittels SSL/TLS für Webseitenbetreiber zur Pflicht. Darüber hinaus legt die DSVGO fest, dass sich die Verantwortlichen prinzipiell am „Stand der Technik“ zu orientieren haben (DSVGO Art. 32). Es ist daher auch aus juristischer Sicht entscheidend, keine unsicheren Verfahren mehr zu verwenden. Ansonsten drohen Datenschutzverstöße.

Ebenfalls in Artikel 32 festgeschrieben ist ein „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“. Ein dauerhaftes Monitoring der SSL/TLS-Konfiguration ermöglicht eine einfache Umsetzung dieser Vorgabe.

SSL/TLS-Monitoring mit Enginsight

Nutzen Sie das SSL/TLS-Best Practice-Monitoring von Enginsight, um einen schnellen Überblick über die SSL/TLS-Einstellungen Ihrer Webseite zu erhalten und die Einhaltung der DSGVO-Vorgaben sicherzustellen. Um mit dem Monitoring zu starten, brauchen Sie nichts weiter tun, als Ihre Webseite als Endpunkt hinzuzufügen, die entsprechenden Überwachungsoption zu wählen. Das Monitoring startet vollkommen automatisiert. Die Überprüfung übernimmt die Softwarekomponente Observer von außen. Sie können entweder einen von Enginsight zu Verfügung gestellten Observer mit den Standorten in Frankfurt (Deutschland) und Virginia (USA) nutzen oder einen eigenen Observer installieren.

Noch kein Enginsight Account? Kein Problem. Der SSL/TLS-Monitoring Ihrer Webseite können Sie auch mit unserer kostenlosen 14-tägigen Testversion ausprobieren. Danach geht es schon für 10€/Jahr los.
Registrieren Sie sich einfach!

Der Enginsight Observer überprüft unter anderem:

  • Gültigkeit, Erreichbarkeit und Lesbarkeit des Zertifikats
  • Gültigkeit, Erreichbarkeit und Lesbarkeit der Zertifikatssperrliste (CRL)
  • Überprüfung aller unterstützten Protokoll
    • nur TLS 1.2 und 1.3 sind empfohlen
  • Überprüfung aller unterstützten Chiffren (Beispiele)
    • Algorithmus des Schlüsseltauschs
      sicher: z.B. DH < 2048 Bits, ECDH < 128 Bit
      unsicher: z.B. DH > 2048 Bits, Verwendung einer bekannten Primzahl beim Schlüsseltausch
      critical: z.B. MD5
    • Algorithmus der Authentifizierung über das Zertifikat
    • Algorithmus zur Verschlüsselung der Kommunikation
    • Algorithmus der Hashfunktion
      sicher: z.B. SHA256
      unsicher: z.B. SHA1
  • Gesonderter Check auf die Anfälligkeit für bekannte Cyber-Attacken
    • unter anderem alle oben genannten Attacken
  • Test auf Konfigurationen
    • z.B. deaktivierte TLS Kompression, CAA-Record (unter DNS), Strict-Transport-Security Header (unter HTTP-Headers)

Unter SSL/TLS des entsprechenden Endpunktes finden Sie die detektierten Daten des verwendeten Zertifikats. Im Abschnitt Security Checks erhalten Sie Meldungen über problematische Konfigurationen. Jeder Check ist mit einer Severity versehen, sodass Sie abschätzen können, wie schnell Sie handeln müssen. Im besten Falle ist diese Liste komplett leer. Gesondert sind nochmals alle angebotenen Protokolle und Zertifikate aufgelistet. Entspricht das Protokoll bzw. die Chiffre den Empfehlungen von Enginsight, erhalten sie ein A+-Rating sowie ein „Best Practice“-Label. Sollten wir von der Verwendung abraten, sehen Sie ein „Nicht Empfohlen“-Label sowie wieder eine Severity-Wertung.

SSL/TLS Security Checks
In den Security Checks erhalten Sie eine Risikoabschätzung Ihrer SSL/TLS-Konfiguration. (Anklicken zum Vergrößern)

Sollten Sie Wertungen mit critical oder high erhalten, werden Sie sofort tätig. Mit medium gelabelte Konfigurationen sollten Sie überprüfen und in naher Zukunft anpassen. Überprüfen Sie auch Probleme, die als low klassifiziert sind. Je sicherer Ihre Webseite ist, desto besser!

Nachdem Sie eine Änderung vorgenommen haben, können Sie Ihre SSL/TLS-Überprüfung sofort wiederholen, indem Sie auf den Button „Manuell Aktualisieren“ klicken.

Sofortige Benachrichtigung bei Problemen

Indem Sie Alarme auf Ihre Endpunkte schalten, bleiben Sie über neu auftretende Probleme informiert. Via Tags können Sie einen Alarm auf alle Ihre überwachten Endpunkte schalten.

Nutzen Sie die Alarme…

  • „Tage bis Zertifikatsablauf“, um sich rechtzeitig benachrichtigen zu lassen, wenn Sie Ihr Zertifikat erneuern müssen.
  • „Datenschutzverstoß gemäß BSI (SSL/TLS)“, um einen Alarm zu erhalten, wenn Ihre SSL/TLS-Konfiguration nicht mehr den Maßgaben des BSI entspricht und Sie sich so potenziell einen Verstoß gegen die DSVGO einhandeln.

Umfangreicher Sicherheitscheck Ihrer Webanwendung

Eine sichere Verschlüsselung der Kommunikation via SSL/TLS ist ein wichtiger Aspekt, um Ihre Webseiten sicher zu betreiben. Enginsight beschränkt sich jedoch nicht auf diesen einen Teil. Stattdessen lassen sich mit Enginsight eine Vielzahl von invasiven und non-invasiven Security-Checks durchführen und ein dauerhaftes Sicherheits-Monitoring einrichten. Überprüfen Sie zum Beispiel Ihre Webseite auf bekannte Schwachstellen (CVE), die Anfälligkeit für Cross-Site-Scripting (XSS) oder SQL Injection.

Erfahren Sie, wie Sie mit Enginsight in 5 Minuten einen Sicherheitscheck Ihrer Webseite durchführen können.

Ein Tool – Ihre gesamte IT!

Weil IT-Sicherheit nicht bei einer sicheren Webseite aufhört, bildet Enginsight den gesamten Prozess der alltäglichen Absicherung von IT-Infrastrukturen ab. Nutzen Sie die Asset Discovery, um alle Geräte in Ihrem Netzwerk zu inventarisieren, überwachen Sie Ihre Server und Clients mit dem Pulsar-Agent von innen oder führen Sie regelmäßig automatisierte Penetrationstests durch: All das und noch mehr bietet Ihnen Enginsight in nur einer übersichtlichen Oberfläche.

Klingt interessant? Vereinbaren Sie einen Webdemo-Termin und lassen Sie sich in einem persönlichen Gespräch zeigen, wie Sie mit Enginsight neue und sichere Ufer betreten. Gleich loslegen können Sie alternativ mit der kostenlosen Testversion.

Sie sind IT-Dienstleister und wollen mit Enginsight neue Kunden gewinnen und Bestandskunden effektiver betreuen? Nehmen Sie an unserem Webcast „Erfolgreich als MSP IM Mittelstand“ teil.

Share on linkedin
Share on twitter
Share on facebook
Der IT-Security Newsletter

News rund um Enginsight und IT-Sicherheit für clevere Admins, CISOs und alle Sicherheits-Verantwortlichen

Weitere interessante Security-Beiträge

Neuigkeiten über Enginsight, IT-Sicherheit, IT-Monitoring, Asset-Management, Risikomanagement und vieles mehr aus der Security-Branche, erfahren Sie in unserem Blog.

Mann am Laptop prüft IT-Sicherheit

Aktuelle IT-Sicherheitsthemen

Einmal mehr zeigen aktuelle Artikel, wie schlecht es um das Thema Sicherheit in Unternehmen steht. Golem berichtet etwa über eine Analyse von Hewlett Packard Enterprise, die aufzeigt,

Weiterlesen »
NGS-Fantasy
7-Tage Newsletter
Werden Sie zum Helden Ihrer Kunden

7 Tage Wissen und Insights für IT-Security Dienstleister.

Enginsight Logo