Google stellt die Weichen auf Informationssicherheit
Seit längerem ist bekannt dass das Ranking im Index der Google Suchmaschine positiv beeinflusst wird wenn Webseiten via HTTPS ausgeliefert werden. Dieser Kurs wird nun in naher Zukunft noch konsequenter verfolgt.
Einige der HTML5 Features, die mit personenbezogenen Daten arbeiten sind bereits nur noch auf verschlüsselten Webauftritten möglich. Hier ist als Beispiel die Geolocation-API genannt, welche zur Positionsbestimmung genutzt wird. Einige weitere stehen bereits auf der Agenda sodass auch Webseiten Betreiber den Anschluss in diesem Punkt nicht verpassen sollten. Features, die heute noch auf unverschlüsselten Seiten funktionieren werden bald nur noch funktionieren wenn die Seite zukünftig mit HTTPS zur Verfügung steht.
Weiterhin hat Google bereits angekündigt dass der Chrome Browser in zukünftigen Versionen unverschlüsselte HTTP Webseiten für den Endbenutzer in der Adressleiste deutlich sichtbar als „unsicher“ kennzeichnen wird.
Auch Mozilla – der Hersteller des Firefox Browsers – hat dem unverschlüsselten Internet via HTTP öffentlich den Kampf angesagt. In der aktuellen Zeit in der Cyberangriffe schon zum Alltag gehören, sieht die Mozilla Foundation nur diesen Weg als sinnvolle Weiterentwicklung des Internets.
Aufgrund dieser Entwicklungen werden in naher Zukunft auch Image- oder Marketing-Seiten auf HTTPS vorbereitet werden müssen damit neuste Browserfeatures – vor allem auch auf mobilen Endgeräten – genutzt werden können. Durch die neue „unsicher“ Kennzeichnung im Google Chrome werden viele Webanwendungen wohl dazu übergehen gänzlich auf HTTP zu verzichten, damit man das Vertrauen zum Endbenutzer erhalten kann.
Vertrauen zum Endbenutzer aufbauen mit sicheren Verbindungen
Schon seit den Anfängen des Internet sind Anforderungen bzgl. Informationenssicherheit ein wichtiger Bestandteil einer Web-Anwendung.
Das früher eingesetzte SSL, welches Heute noch vielen Internetnutzern bekannt ist, wurde schon kurz darauf durch einen Nachfolger namens TLS ersetzt. TLS ist in aktuellen Browsern nicht mehr wegzudenken und stellt die Grundlage für verschlüsselte also HTTPS Verbindungen dar.
TLS und die dabei verwendeten Zertifikate erfüllen mehrere Aufgaben einer sicheren Kommunikation.
Es wird sichergestellt dass die Informationen – nachdem sie den Absender verlassen haben – unverändert beim Empfänger ankommen. Manipulationen oder ein Mitlesen der Daten auf dem Übertragungsweg dürfen nicht möglich sein.
Als 2. Komponente eines sicheren Datenaustauschs ist dabei wichtig, dass es dem Empfänger möglich ist zu prüfen ob es sich beim Versender wirklich um die Person handelt, die er/sie vorgibt zu sein.
Neben den technischen Aspekten suggeriert die Verwendung von Verschlüsselungen einen vertraulichen Umgang mit personenbezogenen oder anderen sensitiven Daten und stellt dadurch auch einen Webseitenbetreiber als seriösen Anbieter dar. Ohne das Vertrauen des Kunden in die von Ihm besuchte Webseite sind keine Vertragsabschlüsse oder Verkäufe möglich.
Da wir uns hauptsächlich im eCommerce und damit online-shopping Umfeld bewegen, sind dies wichtige Säulen auf denen alle unsere Anwendungen aufbauen.
Das Internet der Zukunft basiert auf chiffrierten Anwendungen
Das dem World Wide Web zugrundeliegende Kommunikation-Protokoll HTTP wurde im Mai 2015 in Version 2.0 verabschiedet. Die Verbreitung ist aufgrund der enormen Vorteile gegenüber seinem Vorgänger bereits weit fortgeschritten. Aus technischer Sicht funktioniert HTTP2 zwar auch ohne eine verschlüsselte Verbindung, allerdings haben sich die Browserhersteller der weit verbreitetsten Internetbrowser dazu entschlossen HTTP2 nur via HTTPS anzubieten. Auch diese Entscheidung lenkt die Ausrichtung aller im Internet angebotenen Inhalte in diese Richtung.
Anwendungen unserer Kunden deren Traffic über Cloudflare geroutet wird profitieren heute schon von HTTP2, insofern HTTPS genutzt wird.
Wo setzt man selbst signierte Zertifkate ein und welche Alternativen hierzu gibt es auf dem Markt ?
Seit Ende 2015 gibt es erstmals sinnvolle Alternativen zu selbst signierten Zertifikaten. Unter dem Namen Let’s Encrypt hat sich eine Zertifizierungsstelle hervorgetan die sich durch eine durchgängige Automatisierung der nötigen Abläufe um Zertifikate auszustellen, zu verlängern und zu pflegen auszeichnet.
Die Organisation stellt Werkzeuge für die gängigen Serverplattformen zur Verfügung die es erlauben relativ kurzlebige Zertifikate auszustellen (90 Tage gültig) welche sich aber durch einen vollautomatischen Prozess immer wieder verlängern lassen.
Let’s Encrypt glänzt durch Automatismen und kostenlose Zertifikate
Wie können wir Let’s Encrypt für unsere Kunden und Systeme sinnvoll einsetzen?
In der nahen Vergangenheit waren der Einsatz von SSl – Zertifikaten auf allen Ebenen mit Kosten verbunden die viele vermeiden wollten. So wurden für Test oder Stagingsysteme, die zur Vorbereitung für kommende Softwareupdates benötigt werden, gerne selbst-signierte Zertifikate verwendet oder gar komplett auf eine sichere Kommunikation verzichtet. Gründe dafür sind die wiederkehrenden Kosten für die Zertifikate (da diese nur für einen beschränkten Zeitraum gültig sind) als auch die manuellen Aufwände welche entstehen um ein System dafür vorzubereiten und im Anschluss in regelmäßigen Abständen mit verlängerten Zertifikaten zu aktualisieren.
Durch automatisierten Zertifikatsverlängerung können zukünftig die Betriebskosten für Systeme reduziert werden. Nach dem initialen Setup entfallen nicht nur bisher manuellen Vorgänge, sondern auch die Risiken, die beim Vergessen einer Zertifikatsverlängerung dem Betreiber ins Haus stehen.
Zudem wird durch den Einsatz der Let’s Encrypt Zertifikate ein neuer Level an Datensicherheit erreicht. Damit kann das Vertrauen der Endbenutzer in die Webanwendungen künftig bestätigt werden und die Weiterentwicklung der Applikationen auf Basis aktueller und neuer Browserfeatures gewährleistet werden.
Die dabei generierten Let’s Encrypt Zertifikate erreichen nicht die Sicherheitsstandards vieler kostenpflichtiger Zertifikate, werden aber dennoch von allen Browsern und Tools als vollwertige und sichere Grundlage akzeptiert.
Im eCommerce Umfeld reichen Let’s Encrypt Zertifikate für die meisten produktiven Systeme nicht aus – allerdings für alle Tools, Test & Stagingsysteme hingegen bieten sie eine tolle Ergänzung. Auch produktiv eingesetzte Anwendungen die alleine für interne Abläufe unserer Kunden genutzt werden können mit diesem Zertifikaten arbeiten sodass nicht länger umständliche Ausnahmen gepflegt oder Warnungen in Browser-Fenstern bestätigt werden müssen. Einzige Voraussetzung die Serversysteme erfüllen müssen um mit Let’s Encrypt Zertifkaten arbeiten zu können ist eine vom Internet zugängliche Internet-Adresse/Domain.
Für unsere Kundensystem haben wir die nötigen Entwicklungsprozesse und Infrastruktur Anpassungen bereits geprüft und befinden uns in den ersten Testphasen.