Wie sicher ist HTTPS?

Ob eine Verbindung mit HTTPS sicher ist oder nicht bestimmt in der Hauptsache das Verhalten des Clients (der von Ihnen verwendete Internet-Browser) bei der Überprüfung des SSL-Zertifikats des Servers. Der Client muss prüfen, ob das vom Server vorgelegte Zertifikat ihm gehört und ob es noch gültig ist. Dazu verwendet der Client OCSP (Online Certificate Status Protocol), um bei der verantwortlichen Zertifizierungsstelle (Certificate Authority, CA) nachzufragen. Diesen Vorgang nennt man Validierung.

Die Implementierung von OCSP im Browser ist allerdings generell defekt. Erhält der Browser nach einer bestimmten Zeit keine Antwort von der Zertifizierungsstelle muss er das Zertifikat ungeprüft akzeptieren. Das bedeutet, dann ist ein Angreifer in der Lage, die Validierung in irgendeiner Weise zu behindern. Er kann den Verbindungsaufbau manipulieren und sich beispielsweise als Man-in-the-Middle trotz Verschlüsselung in die Verbindung zwischen Client und Server einklinken.

Ein weiterer Knackpunkt bei jeder verschlüsselten Verbindung ist die Übertragung des Sitzungsschlüssel. Kritischer wird es, wenn der geheime Schlüssel bekannt wird und ein Hacker dadurch auf die Sitzungsschlüssel schließen und aufgezeichnete, verschlüsselte Übertragungen nachträglich entschlüsseln kann.

Schwachstelle bei HTTPS ist das Akzeptieren von Zertifikaten, die wegen einer nicht erreichbaren oder kompromittierten Zertifizierungsstelle, akzeptiert werden!

Quelle: elektronik-kompendium.de

Wir beraten Sie gern!

Kicken Sie bitte auf den roten Button unten rechts um mit uns in Kontakt zu treten.

Oder senden Sie uns eine E-Mail und vereinbaren einen Termin für ein persönliches Beratungsgespräch.