Anwendungsschicht-Protokoll HSTS wird Standard

von Andreas Hackl | 0 | 3499 Aufrufe

Anzeige Hier werben

Die Internet Engineering Task Force (IETF) hat mit RFC 6797 das Protokoll HTTP Strict Transport Security (HSTS) als Standard verabschiedet. Dadurch werden bei Nutzung HTTP-Clients gezwungen von Beginn an ihre Daten an den Webserver via HTTPS zu senden. So sollen Angriffe auf SSL-Übertragungen vermieden werden.

Dabei zielen besagte Angriffe nicht direkt auf SSL-Übertragungen sondern auf den Zeitpunkt davor. Zahlreiche Webseiten nutzen SSL lediglich beim Übertragen von empfindlichen Informationen wie beispielsweise Kontodaten, die restliche Kommunikation wird über unsicheres HTTP abgewickelt. Der Benutzer vertraut demnach dem Webmaster, dass rechtzeitig das Sicherheitsprotokoll aktiv wird. Angriffe wie die von Moxie Marlinspike von Black Hat beschriebene (PDF) unterbinden den Protokollwechsel und eigentlich verschlüsselte Daten sind so offen einsehbar. Um dies zu umgehen soll HSTS sicherstellen, dass schon mit der ersten Antwort dem Client mitgeteilt wird via HTTPS statt HTTP zu kommunizieren.

Dieser Punkt gilt bislang als einzige Schwachstelle des neuen Standards. Die Browser Chrome und Firefox verfügen aus diesem Grund über Listen von ihnen bekannten Domains, die auf HSTS setzen und versenden dementsprechend bereits die erste Anfrage verschlüsselt.

Eine alternative und allgemeingültigere Lösung wäre ein Hinterlegen der HSTS-Information im DNS. Durch die Nutzung von DNSSEC könnten die relevanten Informationen ebenfalls verschlüsselt übertragen werden.

Über den Autor: Andreas Hackl
Hat Internetbasierte Systeme an der FH Trier studiert und sieht sich völlig selbstverständlich als Netzbürger.
Profilseite betrachten