Menü
Security

Denic will Webangebote komplett verschlüsseln

Antwort auf die Massenüberwachung: Denic will künftig bei seinen Webseiten verschlüsselte Verbindungen erzwingen und dabei auf aktuelle Standards setzen.

vorlesen Drucken Kommentare lesen 80 Beiträge
Server

Ab dem 15. September sollen die Webseiten der .de-Registrierstelle Denic grundsätzlich nur noch HTTPS-verschlüsselt antworten. Bei unverschlüsselten Anfragen soll automatisch eine Umleitung auf die mittels Transport Layer Security (TLS) gesicherte HTTPS-Variante stattfinden. Dienste, wie etwa die Domainabfrage (Whois), seien schon länger HTTPS-gesichert, elektronische Registrierungsdienste schon von Beginn an.

Denic führt den neu erzwungenen Redirect auf die sichere HTTPS-Variante fürs gesamte Webangebot ein, weil man der Überzeugung ist, dass Datenverkehr im Internet grundsätzlich verschlüsselt werden muss, erklärte die Registrierstelle auf Anfrage von heise online. Man folge damit "frühzeitig" dem Aufruf der Engineering Task Force (IETF) aus dem vergangenen Jahr, dass die Massenüberwachung ein Angriff auf das Internet ist.

Viele große Firmen haben bereits angekündigt, wie etwa Mozilla, ungesichertes HTTP nach und nach komplett zu verbannen. Die IETF konnte sich für den neuen HTTP/2-Standard jedoch nicht darauf einigen, TLS grundsätzlich zu erzwingen.

Immer neue Angriffe auf die TLS-Verschlüsselung erinnern beständig, dass TLS kein Allheilmittel ist. Denic setzt nach eigenen Aussagen "unter anderem" den "zur Zeit neuesten TLS-Standard, TLS 1.2", ein, um mindestens einen Teil der Angriffsszenarien abzuwehren. Auf den TLS-Vorläufer SSL will Denic nach den Sicherheitsdefiziten im Gefolge von Poodle komplett verzichten.

Der Einsatz von HTTP Strict Transport Security (HSTS) ist allerdings erst im nächsten Schritt geplant. HSTS kann kompatible Webbrowser beim Besuch einer Internetseite mit HSTS-Unterstützung dazu überreden, verschlüsselt über HTTPS zu kommunizieren. "Sobald Denic die Umstellung am kommenden Dienstag durchgeführt und den HTTPS- bzw. HTTP-Verkehr beobachtet hat", will die Registrierstelle mit dem inzwischen recht gebräuchlichen Mechanismus nachziehen, erklärte ein Denic-Sprecher gegenüber heise online. (Monika Ermert) / (des)