Menü

HTTP Strict Transport Security als Internet-Standard

Von
vorlesen Drucken Kommentare lesen 29 Beiträge

Die Internet Engineering Task Force (IETF) hat die HTTPS-Sicherung HTTP Strict Transport Security (HSTS) als Internet-Standard im RFC 6797 veröffentlicht. Mit HSTS können einerseits (HTTP-)Server vorgeben, dass man die angebotenen Dienste ausschließlich über sichere, etwa per TLS verschlüsselte Verbindungen erreicht. Andererseits zwingt HSTS auch Anwendungsprogramme (User Agents) dazu, die Kommunikation mit Websites nur über verschlüsselte Verbindungen abzuwickeln.

HSTS richtet sich hauptsächlich gegen die bereits 2009 von Moxie Marlinspike beschriebenen Attacken auf SSL geschützte Websites. Diese Angriffe zielen nicht direkt auf das Knacken einer SSL-Verbindung. Sie machen sich stattdessen zunutze, dass Anwender in der Regel nie eine Seite mit einem vorangestellten https:// aufrufen. Vielmehr rufen sie zunächst die unverschlüsselte URL auf und bauen darauf, dass sie schon rechtzeitig auf die HTTPS-Version umgeleitet werden. Marlinspikes Angriffe verhindern dies jedoch – ohne dass der beteiligte Nutzer davon etwa durch Browser-Warnungen Kenntnis erhält.

Mittels eines Header-Eintrags informieren HSTS-taugliche Webserver anfragende Browser beim ersten Kontakt via [Update]HTTP[/Update] HTTPS darüber, dass alle Verbindungen zur Website per SSL/TLS verschlüsselt werden sollen. Der lässt sich zwar bei einem Man-in-Middle-Angriff noch herausfiltern, doch stehen inzwischen mit Chrome respektive Chromium und Firefox Browser bereit, die eine eingebaute Liste von HSTS-tauglichen Websites an Bord haben und somit wenigsten bei diesen Websites gegen diesen Angriff immun sind. Besser wäre es, wenn die HSTS-Informationen im DNS hinterlegt wären und man sie über die DNS-Sicherung DNSSEC abfragen könnte. Wie man Webserver wie Apache, Nginx oder Lighttpd dazu bringt, HSTS zu nutzen, beschreibt etwa das Open Web Application Security Project.

Der Vorschlag zu HSTS geht auf Arbeiten von den PayPal-Mitarbeiter Jeff Hodges, Collin Jackson von der Carnegie Mellon University sowie Adam Barth von Google zurück, die auch das RFC 6797 geschrieben haben. Ähnliche Aufgaben wie HSTS, also das sichere Umleiten des Nutzers auf die HTTPS-Ausgabe einer Webseite, erledigt auch das Chrome- und Firefox-Plugin HTTPS Everywhere der Electronic Frontier Foundation (EFF). (rek)

Anzeige
Anzeige