Google legt vor in Sachen Sicherheit beim Zugriff auf Webseiten. Ab Chrome Version 56, die im Januar 2017 kommen wird, werden alle Webseiten ohne Verschlüsselung “gebrandmarkt”. Es ist also nur eine Frage der Zeit, bis auch Mozilla, Apple und Microsoft nachziehen werden. Google hat völlig recht, denn unverschlüsselte Kommunikation ist schon länger nicht mehr zeitgemäß. Alle die bis jetzt in Sachen https ihre Hausaufgaben nicht gemacht haben und eine Deadline benötigen, hier ist sie: Januar 2017.
Grundsätzlich muss man sich die Frage stellen, warum gibt es überhaupt noch Zugriffe auf Webseiten die unverschlüsselt stattfinden? Dafür gibt es seit mehreren Jahren keine plausiblen Argumente mehr. Weder mangelnde Ressourcen oder nicht zur Verfügung stehende Software oder andere entsprechende Systeme für den TLS (SSL) Offload. Selbst ein RasberryPi hat ausreichende Ressourcen um problemlos verschlüsselte Verbindungen aufzubauen, von anderen mobilen Geräten wie zum Beispiel Tablets oder Smartphones ganz zu schweigen. Das einzige Problem bei den Betreibern der Webangebote ist wie auch immer vor der Tastatur und nicht die Technik, warum der Zugriff (noch) nicht mit https umgesetzt ist.
Da nun aber Lösungen und keine Schuldzuweisungen gefragt sind, bleibt jetzt nur das Richtige zu tun und endlich alle Services von Klartext auf TLS Verschlüsselung umzustellen. Es ist auch nicht wirklich schwer oder kompliziert. In vielen Fällen reicht ein Reverse Proxy oder ein passenden Application Delivery Controller (ADC) völlig aus, wenn die Anwendung es nicht schon von Haus aus bietet. Es muss oft gar kein NextGen ADC sein, wohl denn man auch hierüber nachdenken sollte, wenn man das große Ganze betrachtet und sich ein NextGen ADC multipel für mehr Anwendungsfälle einsetzen lässt. Es ist also durchaus ratsam alle Applikationen zu betrachten die dem Anwender zur Verfügung gestellt werden sollen oder schon werden. In den meisten Fällen ergeben sich doch einige Synergieeffekte die den Einsatz eines NextGen ADC sinnvoll machen. Zumal in modernen Umgebungen der Einsatz von virtuellen Systemen oft mehr als nur ausreichend ist. Gerade im Bereich Netzwerk halten die virtuellen Systeme immer mehr Einzug, vor allem dann, wenn die benötigten Bandbreiten überschaubar sind. Wobei hier “überschaubar” Bandbreiten im Bereich bis 1 Gbit und je nach Produkt 2 bis 8 Gbit bedeutet. Selbst Bandbreiten von jenseits der 8 Gbit mit den entsprechenden Produkten auf Basis von VMware stelle kein Problem mehr dar, daher gibt es für die meisten keinen Grund mehr auf Hardware zu setzen. Was natürlich den Einsatz entsprechender Produkte sehr vereinfacht.
Bis Januar ist jetzt noch ausreichend Zeit sich um die Umsetzung weg von http auf https zu kümmern. Etwas schwieriger dürfe es werden, wenn das eigene Webangebot bei Anbietern liegt, die immer noch veraltete Technologien einsetzen, um die Auftritte ihrer Kunden online zu bringen. Wer hier in den letzten Jahren die Änderungen verpasst hat oder einfach nur ignorant war sich zu bewegen steht nun vor einem Problem. Was aber durch die zur Verfügung stehende Technik lösbar sein sollte, wenn man dann will. Das bedeutet aber jetzt auch, dass all diejenigen, die keine dedizierten Systeme, ob gemietet oder wie auch immer nutzen, an ihren Anbieter herantreten sollten und auf die Umstellung von http auf https zu drängen. Dank SNI funktioniert https auch auf den günstigsten Angeboten, die lediglich Webspace umfassen. Die Technik ist also vorhanden, daher gibt es hier auch keine Ausreden mehr. Bei allen, die dedizierte Systeme ihr Eigen nennen, ist es etwas einfacher, da man es hier selbst in der Hand hat und sehr zeitnah loslegen kann. Der Einsatz offizieller Zertifikate ist bis auf ganz wenige Ausnahmen für geschlossene Benutzergruppen der einzig praktikable Weg die Umsetzung nach https jetzt durchzuführen.
Die universelle Lösung gibt es aber hier, wie so oft in der IT, auch nicht. Dafür sind die Anforderungen oder die Rahmenbedingungen zu unterschiedlich. Aber es gibt Lösungen die sich universell durch ihre Flexibilität einsetzen lassen. Auch nicht außer acht lassen, sollte man die Möglichkeit mit dem Umstieg auf https gleich auch auf HTTP/2 zu gehen und dessen Vorteile in einem Step mitzubenutzen oder grundsätzlich ein Plus an Sicherheit für die eigenen Services umzusetzen.
Die Möglichkeiten der Umsetzung sind vielfältig, angefangen von der freien Variante des Nginx über dessen kommerziellen Version bis hin zu Lösungen auf Basis von A10 Networks oder Fortinet und dessen WAF Systemen. Insbesondere ist der Einsatz einer WAF wichtig, wenn die Applikation auf Drupal, WordPress & Co. basiert. All diese CMS haben immer wieder massive Probleme mit der Sicherheit und Patches lassen oft lange auf sich warten. Hier eine weitere Instanz zum Schutz der Anwendung an den Start zu bringen macht also durchaus Sinn. Je nach Szenario und Betrachtung des Ganzen ist eine Kombination aus verschiedenen Produkten zu empfehlen und damit die Synergien zu erreichen die deren Einsatz sinnvoll und auch wirtschaftlich machen. Der Schutz der Applikationen die für viele Unternehmen schon den Status “Geschäftskritisch” haben ist heute wichtiger denn je. Hier sollte man jetzt den Schritt hin zu https auch dazu nutzen, die für ein Unternehmen so wichtigen Anwendungen auch den Umständen entsprechend zu schützen. Die Gefahr ist real, wer sich nur einmal die Mühe gemacht hat, die Logs einer im Internet zur Verfügung stehenden Webanwendung zu analysieren, kann eine Vielzahl von Angriffen dort erkennen und es wird bestimmt nicht weniger. Möchte man sich auch noch für die immer öfters auftretenden (D)DoS Angriffen schützen, muss ein entsprechendes Schutzszenario entwickelt werden. Gerade bei (D)DoS Angriffen ist es eine Frage des Designs und der Anforderung was erreicht werden soll.
Wie immer stehen wir gerne bei Fragen wenn es um die IT Sicherheit geht zur Verfügung, sprechen Sie uns an.