Das US-CERT warnt, dass alle Systeme nach einer HTTPS-Unterbrechung potentiell unsicher sind, da die TLS-Verschlüsselung geschwächt sein kann. Das bezieht sich auf HTTPS-Unterbrechung, wie sie beispielsweise oft durch Antivirus-Software erfolgt, um Malware zu erkennen.
Auch wenn eine solche HTTPS-Inspektion sinnvoll sein kann, erfordert sie eine Abwägung der damit verbundenen Risiken, wie zuvor ein Blogeintrag der Carnegie Mellon University darlegte. Nicht selten kommt es demnach vor, dass Sicherheitsprodukte durch eine fehlerhafte Implementierung erst für neue Angriffsvektoren sorgen.
„HTTPS-Inspektion erfolgt durch Unterbrechung des HTTPS-Netzwerkverkehrs und eine Man-in-The-Middle-Attacke auf die Verbindung“, erklärt das CERT. Zu ihrer Durchführung müssen Administratoren vertrauenswürdige Zertifikate auf den Client-Geräten installieren. Das führt aber dazu, dass ein Client-System eine HTTPS-Verbindung nicht mehr unabhängig validieren kann, sondern nur die Verbindung zwischen sich und dem Produkt, das HTTPS unterbricht. Clients müssen sich also auf die HTTPS-Prüfung durch das jeweilige Produkt verlassen, das sich in die Verbindung gedrängt hat.
Aus der kürzlich veröffentlichten Studie The Security Impact of HTTPS Interception (PDF) geht aber hervor, dass viele HTTPS-Inspektion-Produkte die Zertifikatskette des Servers nicht ordentlich verifizieren, bevor sie erneut verschlüsseln und die Daten an Clients weiterleiten – was wiederum anderen einen MITM-Angriff ermöglichen kann. Darüber hinaus werden Hinweise auf Verifizierungsprobleme in der Zertifikatskette nicht immer an den Client weitergereicht, der dann vielleicht fälschlicherweise von einer korrekten Verbindung mit dem richtigen Server ausgeht.
Grundsätzlich empfiehlt das CERT Organisationen, die HTTPS-Inspektion in Betracht ziehen, vorher eine sorgfältige Abwägung der Vorteile und Nachteile solcher Produkte vorzunehmen. Um zu ermitteln, ob ein unterbrechendes Produkt Zertifikate vorschriftsmäßig validiert und Verbindungen zu Sites mit schwacher Verschlüsselung verhindert, könnte sich die Website Badssl.com eignen. Sie stellt eine Reihe von Tests für gründliche Überprüfung bereit.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…
