Sichere Verbindung

HSTS schützt SSL-Verbindungen vor Angriffen

Der neue Internet-Standard HTTP Strict Transport Security (HSTS) soll Web-Server und Benutzer in die Lage versetzen, Browser und Websites nach Möglichkeit stets mit gesicherter SSL-Verschlüsselung zu verbinden.

HSTS schützt SSL-Verbindungen

© Frank Ziemann

HSTS schützt SSL-Verbindungen

Nicht nur beim Online-Banking sollten Internet-Nutzer darauf achten Websites wenn möglich über eine SSL-verschlüsselte Verbindung aufzurufen. Die in beide Richtungen verschlüsselte Übertragung der Daten schützt vor Abhörversuchen und stellt außerdem sicher, dass beide Kommunikationspartner wissen, mit wem sie es zu tun haben. Doch bestimmte Angriffsszenarien lassen sich allein damit nicht ausschließen. Hier soll der neue Standard HTTP Strict Transport Security (HSTS) Abhilfe schaffen.Die Internet Engineering Task Force (IETF) hat den RFC 6797 (Request for Comments) verabschiedet, in dem HSTS spezifiziert wird. Mit HSTS kann ein Web-Server dem Browser (User Agent) mitteilen, dass er seine Dienste ausschließlich über HTTPS (SSL-verschlüsselte HTTP-Verbindung) anbietet. Der Anwender kann damit seinerseits seinen Browser zwingen bestimmte Websites nur über derart gesicherter Verbindungen anzusteuern.

Hintergrund sind Angriffsszenarien, so genannte Man-in-the-Middle-Angriffe, bei denen ein Angreifer den Aufbau einer verschlüsselten Verbindung verhindern kann, ohne dass der Benutzer etwas davon bemerkt. So kann der Angreifer sein Opfer in Sicherheit wiegen und alle übermittelten Daten mitschneiden. Dies ist möglich, weil der erste Verbindungsaufbau zwischen Browser und Web-Server oft erstmal über eine unverschlüsselte HTTP-Anfrage erfolgt. Erst danach leitet der Web-Server den Browser auf seine HTTPS-Seiten um. Der Angriff unterbindet diesen Wechsel zu HTTPS unbemerkt. Mit HSTS soll diesem Szenario die Basis entzogen werden, indem bereits die initiale Verbindung über HTTPS erfolgt. Dies setzt allerdings voraus, dass der Browser weiß, welche Web-Server er nur über HTTPS ansprechen soll. Server-seitig erfolgt die Mitteilung mit einem Header-Eintrag, der dies dem Browser signalisiert. Das heißt jedoch, dass ein Browser doch erstmal eine unverschlüsselte Anfrage an den Server senden würde, dessen Antwort der Angreifer abfangen und manipulieren könnte.

Malware klaut gespeicherte Firefox-Passwörter Web-Browser wie Firefox und Chrome (sowie deren Derivate) bringen allerdings bereits eine Liste HSTS-fähiger Websites mit. Zumindest bei diesen senden sie schon die erste Verbindungsanfrage verschlüsselt, ein Angriff wird somit unterbunden. Den gleichen Zweck erfüllt die Browser-Erweiterung HTTPS Everywhere, die für Chrome und Firefox erhältlich ist.

Mehr zum Thema

Windows Update: Screenshot