(Pressemitteilung): Richtige Konfiguration von SSL-Zertifikaten wertet Sicherheit von Webseiten auf
Fulda, 10.09.2014 – Das kostenlose SSL-Check-Tool von Qualys SSL Labs erfreut sich bei Webseiten-Betreibern hoher Beliebtheit, um die Sicherheit ihrer SSL-verschlüsselten Webseite zu messen. Zur Bewertung werden verschiedene Parameter herangezogen, Ratings zwischen A bis F geben Auskunft über das Sicherheitslevel einer Webseite. Dabei steht “A+” für “ausgezeichnet” und “F” für “extrem unsicher”.
„Nachdem bekannt wurde, dass Google HTTPS-verschlüsselte Webseiten in den Suchergebnissen stärker gewichten wird, wurden wir vermehrt mit der Frage konfrontiert, welche Kriterien erfüllt sein müssen, um die Note A+ zu erreichen. Tatsächlich erhalten nämlich die wenigsten Webseiten die Bestnote“, macht Christian Heutger, Geschäftsführer der PSW GROUP (www.psw-group.de), aufmerksam. Zurückzuführen sei dies auf ein Bewertungsproblem der Zertifikatsarten: Der vollautomatisierte Prüfprozess von Qualys SSL Labs behandelt Domain- und Organisationsvalidierte SSL-Zertifikate gleichwertig; Extended Validation-Zertifikate (EV) werden höher gewertet.
Nicht jeder erhält jedoch ein EV-Zertifikat, denn die Validierung ist sehr umfassend und setzt eine ausführliche Prüfung der Organisation voraus. EV-Zertifikate werden deshalb nur an Organisationen ausgestellt, die in einem öffentlichen Register eingetragen sind. „Das Check-Tool kann jedoch nicht den Zweck einer Webseite beurteilen und in die Kalkulation einbeziehen. Folglich besagen die Bewertungsalgorithmen des SSL-Tests, dass Domain XY ein Organisationsvalidiertes Zertifikat verwendet und damit nicht das bestmögliche. Dass das EV-Zertifikat nicht ausgestellt werden kann, bleibt unberücksichtigt“, erklärt Heutger.
Die PSW GROUP hat einige Tipps zusammengestellt, wie Webseiten-Betreiber SSL-Zertifikate so konfigurieren können, dass die Sicherheit – und damit auch das Scoring bei Qualys SSL Labs – aufgewertet wird:
-> Private Keys sollten mindestens eine Schlüssellänge von 2048 Bit haben. Lange Schlüssel können wiederum die Performance der Website beeinträchtigen, deshalb raten die Experten zum Einsatz von ECDSA-Schlüssel.
-> Private Schlüssel gut schützen. Dieser sollte auf einem sicheren Rechner generiert werden und nicht von der Zertifizierungsstelle.
-> Zertifikate und Schlüssel regelmäßig erneuern. Wer sein SSL-Zertifikat übrigens bei der PSW GROUP bestellt, profitiert vom Erinnerungsservice, der rechtzeitig auf die neue Zertifikatsbestellung aufmerksam macht.
-> Das Zertifikat sollte sämtliche Namen abdecken, die für die Webseite verwendet werden sollen.
-> Auf die Zertifizierungsstellen achten. Bekannte, seriöse Zertifizierungsstellen (CAs) haben Vorrang vor unbekannten CAs und werden mit höherem Scoring bewertet. Die PSW GROUP arbeitet beispielsweise ausschließlich mit SSL-Zertifikaten namhafter Zertifizierungsstellen, wie GeoTrust, Thawte und Comodo.
-> Auf SSL v2 und v3 verzichten und sichere Protokolle nutzen. TLS 1.0 ist ausreichend, wenn die restliche Konfiguration absolut sicher ausfällt. Ideal sind TLS 1.1 oder 1.2 – für diese Protokollversionen sind derzeit keine Sicherheitseinschränkungen bekannt.
-> Perfect Forward Secrecy einbeziehen. Die Seite dabei komplett verschlüsseln, auch gemischte Inhalte. Häufig werden Inhalte wie JavaScript-Files, Bilder oder CSS-Dateien in die Seite integriert, ohne dass diese SSL-geschützt sind. Dies ermöglicht Man-in-the-middle-Attacken (MITM) und führt zu einem abgewerteten Rating. Auch Programmierfehler können die Bewertung negativ beeinflussen.
-> Verwendete Cookies müssen als sicher eingestuft werden können. Deshalb ist es sinnvoll Cookies über sichere HTTPS-Verbindungen zu übertragen. Fehler erlauben auch hier MITM-Attacken.
-> HTTP Strict Transport Security (HSTS) als Standard nutzen. Anwendungsprogramme werden so gezwungen, nur über verschlüsselte Verbindungen mit Websites zu kommunizieren. HSTS leitet von gängigen HTTP-Webseiten – die in der Regel vom Nutzer aufgerufen werden – auf verschlüsselte HTTPS-Seiten weiter.
Weitere Informationen und Konfigurationsdetails unter: www.psw-group.de
Honorarfreie Pressebilder zum Download:
www.pressedesk.de/shared/images/psw/ssl-check (Grafik)
www.pressedesk.de/shared/images/psw/logo-allgemein1.jpg (Logo)
www.pressedesk.de/shared/images/psw/crew-heutger1.jpg (Christian Heutger)
Bildquelle jeweils: PSW GROUP
Über die PSW GROUP
Die PSW GROUP ist ein Full-Service-Provider für Internetlösungen mit einem besonderen Schwerpunkt auf Internet Security. Als Dienstleister bietet das Unternehmen sowohl für den Webeinsatz als auch für die E-Mail-Kommunikation maßgeschneiderte Zertifikats-, Signatur-, Verschlüsselungs- und Authentifizierungslösungen an. Das Produktportfolio reicht dabei von SSL-Zertifikaten über Code Signing-Zertifikate bis hin zu S/MIME-Zertifikaten und De-Mail.
Als Partner aller namhaften Zertifizierungsstellen hat die PSW GROUP für jeden Anwendungsfall die passende Lösung. So finden sich auch Lösungen für Secure E-Mail, E-Mail-Security und E-Mail-Archivierung sich im Portfolio. Die Internetdienstleistungen werden komplettiert durch PDFlib-, Parallels-, Live-Config- und CloudLinux-Lizenzen zur Automatisierung und Virtualisierung von Geschäftsprozessen.
Neben der großen Produktvielfalt verfügt PSW über langjährige Expertise in den Bereichen Informationssicherheit, Informationsmanagement und Notfallmanagement. Mit ihrem tiefgreifenden und zertifizierten Fachwissen als Parallels Certified Automation and Virtualization Engineers, Symantec Sales Expert Plus, Sophos Certified Architects, IRCA ISO 27001 ISMS Lead-, Datenschutz- und IT-Security-Auditoren steht PSW Unternehmen beratend zur Seite. Zugleich wird ein umfassendes Schulungsangebot zur Weiterqualifikation bereitgestellt.