barrichello87 - Fotolia

Wie HTTPS Interception die TLS-Sicherheit schwächt

Tools zur HTTPS Interception können Webseiten schützen, allerdings auch die TLS-Sicherheit schwächen. Daher sollten Unternehmen einige Vorsichtsmaßnahmen treffen.

Produkte zur HTTPS Interception führen, einfach gesagt, eine Man-in-the-Middle-Attacke durch, um sicherzustellen, dass ein solcher Angriff nicht erfolgreich ist. Damit diese Systeme funktionieren, muss der Administrator Zertifikate installieren, darunter ein TLS-Zertifikat (Transport Layer Security) auf der Serverseite. Browser und andere Client-Applikationen nutzen dieses Zertifikat, um die verschlüsselten Verbindungen des HTTPS-Interception-Produkts zu validieren.

Um eine Webseite zu sichern, muss ein Dritthersteller das Zertifikat auf einem legitimen Server installieren. Wer „https://“ ohne ein entsprechendes Zertifikat angibt, den warnt der Browser, dass keine sicher Verbindung erstellt werden kann. Falls die Fehlermeldung zur Verbindung kommt, sollten Admins überprüfen, ob die TLS-Sicherheitseinstellungen möglicherweise falsch gesetzt wurden. Falls die Einstellungen falsch sind, sollte das Zertifikate erneut zum Account gebunden werden.

Probleme entstehen, wenn Unternehmen nicht sicherstellen, dass ihre HTTPS-Interception-Produkte eine korrekte Validierung des TLS-Zertifikats vornehmen. Client-Systeme haben keine Möglichkeit, die HTTPS-Verbindung unabhängig zu überprüfen. Wenn dann keine Warnungen ausgeworfen werden, kann dies den Schutz schwächen, den HTTPS bietet.

Tipps zur Implementierung von HTTPS Interception

Damit Angreifer die Schwachstellen nicht ausnutzen können, sollten Firmen folgende Vorsichtsmaßnahmen treffen:

  • Vor der Implementierung sollten die Vor- und Nachteile einer HTTPS Interception überdacht werden.
  • Überprüfen Sie, dass das Produkt die Zertifikatsketten korrekt validiert und alle Warnungen oder Fehler an den Client weiterreicht.
  • Lesen Sie das Whitepaper „The Risks of SSL Inspection“, dieses enthält eine Liste potentiell betroffener Software.
  • Treffen Sie die notwendigen Schritte, um die End-zu-End-Verbindungen zu sichern, wie es beispielsweise im US-CERT Alert TA15-120A definiert werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Der HEIST-Angriff stiehlt Daten aus HTTPS-Verbindungen

Forbidden Attacks sind ein Risiko für HTTPS

Zertifikate als Ausfallursache von Webservern

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit