SSL für Fortgeschrittene

Verschlüsselung mit HSTS und Pinning absichern

Praxis & Tipps | Praxis

Let’s Encrypt erzeugt eine SSL-Konfiguration mit sehr guten Voreinstellungen. Allerdings weist Transport Layer Security (TLS) konzeptionelle Probleme auf, über die ein entschlossener Angreifer diese Verbindungen immer noch belauschen kann. Das ist keineswegs nur Theorie und Panikmache: Solche Angriffe wurden in freier Wildbahn beobachtet. Doch mit ein paar Handgriffen kann man sie nahezu unmöglich machen.

Ein grundsätzliches Problem ist die nur optionale Verschlüsselung. Ein hartnäckiger Angreifer wird versuchen, den Aufbau einer verschlüsselten Verbindung zu verhindern und stattdessen eine Klartext-Übertragung der Daten erzwingen. Dazu gibt es Tools wie sslstrip, die aus allen HTTPS-Links das „s“ herausoperieren und damit zum Aufruf einer ungesicherten HTTP-Seite führen.

Konkret sieht das so aus, dass ein Anwender etwa in seinem Browser „meinemail.de“ eintippt und dort auf den Login-Button klickt, der ihn normalerweise auf die gesicherte Anmeldeseite des E-Mail-Dienstes führt. Wenn da nicht der Angreifer wäre: Der sorgt mit sslstrip heimlich im Hintergrund dafür, dass der Anwender auf einer ungesicherten HTTP-Seite landet und seine Login-Daten und danach die Mails ungesichert im Klartext über die Leitung schickt. ...

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

weiterführende Links

Kommentare

Anzeige