Für die optimale Nutzung eines SSL-Zertifikats ist mehr erforderlich als der Kauf eines Zertifikats und dessen Installation. Es kommt oft vor, dass die Installation nicht richtig durchgeführt wurde und die Servereinstellungen nicht optimal sind. Dadurch bleibt eine Website und mit ihr die ausgetauschten Daten verwundbar. Nachstehend finden Sie eine Reihe von Tipps, die den Einsatz von SSL viel sicherer machen.
Der private Schlüssel
Der private Schlüssel ist nur dem Inhaber des Zertifikats bekannt. Dies kann in den falschen Händen missbraucht werden – beim Entschlüsseln und Abhören des Datenverkehrs. Stellen Sie also sicher, dass der private Schlüssel an einem sicheren Ort aufbewahrt wird, machen Sie ein passwortgeschütztes Backup und erneuern Sie den privaten Schlüssel (und damit das Zertifikat) regelmäßig.
Überprüfen Sie die Installation des Zertifikats
Mit dem SSLCheck können Sie einfach prüfen:
Ob das Zertifikat sowie das übergeordnete Stamm- und Zwischenzertifikat korrekt installiert sind. Die Stammzertifikate stellen sicher, dass das Zertifikat von Browsern und Anwendungen als vertrauenswürdig eingestuft wird.
Die Eigenschaften des Zertifikats. Der aktuelle Standard ist mindestens 2048 Bit RSA, oder, wenn Besucher keine veralteten Browser verwenden, ECC. Der Signierungsalgorithmus muss SHA-2 sein. Erfüllt ein Zertifikat diese Anforderungen nicht? Dies kann durch eine kostenlose Neuausgabe geändert werden.
Protokolle
Stellen Sie sicher, dass der Server nur die aktuellsten Versionen des TLS-Protokolls unterstützt. Die Protokolle, von denen die SSL-Zertifikate ihren Namen ableiten, die SSL-Versionen 1 und 2, sind jetzt unsicher. Schalten Sie daher SSLv2 und SSLv3 in Ihrer Serverkonfiguration aus, damit nur die neueren TLS-Protokolle verwendet werden können und Ihre Angriffe wie z.B. Poodle verhindert werden können.
Ziper-Suiten
Ein SSL/TLS-Protokoll verfügt über mehrere Verschlüsselungssuites, um eine verschlüsselte Verbindung aufzubauen. Eine Cipher Suite bestimmt, wie der Verkehr zwischen einem Server und einem Client verschlüsselt und verarbeitet wird. Eine Reihe dieser Verschlüsselungssuiten hat sich als schwach und unsicher erwiesen. Es ist daher wichtig, unsichere Verschlüsselungs-Suites auf Ihrem Server zu deaktivieren.
Perfektes Vorwärtsgeheimnis
Zusätzlich zu den Protokollen können Sie einstellen, welche Algorithmen für die Kommunikation mit den Browsern verwendet werden können. Eines der Dinge, die ein guter Algorithmus unterstützt, ist Perfect Forward Secrecy (PFS). PFS stellt sicher, dass der temporäre Sitzungsschlüssel, der für die Kommunikation zwischen dem Browser und dem Server erstellt wird, später nicht mit dem privaten Schlüssel entschlüsselt werden kann. Das bedeutet, dass der gesamte Datenverkehr, den jemand jetzt belauschen würde, in Zukunft nicht mehr entschlüsselt werden kann, wenn jemand auf den verwendeten privaten Schlüssel zugreift.
Sichern Sie die gesamte Website mit SSL
Stellen Sie sicher, dass die gesamte Website mit SSL gesichert ist, nicht nur die Seiten, auf denen Kunden Daten hinterlassen. So können beispielsweise beim Wechsel von ungeschützten zu sicheren Seiten innerhalb der Website keine Daten abgefangen werden. Es verhindert auch Browser-Alarme. Google regt die Verwendung von SSL auf der gesamten Website an, indem es dies mit einem höheren Ranking belohnt. Seien Sie vorsichtig mit der Konfiguration, um sicherzustellen, dass die Anpassung nicht die Auffindbarkeit und Leistung der Website beeinträchtigt.
OCSP-Heftung
Um den Status eines Zertifikats zu prüfen, werden CRL und OCSP verwendet, der Status wird bei der CA abgefragt. Sie können diese Statusinformationen auch von Ihrem Webserver selbst weitergeben lassen. Der Webserver nimmt dann Kontakt mit den OCSP-Servern auf und erhält von den OCSP-Servern eine digital signierte Antwort, die zwischengespeichert wird. Der Webserver gibt dann die OCSP-Informationen an den Browser weiter, wenn dieser die Website besucht, so dass der Browser die Informationen nicht selbst anfordern muss. OCSP-Stacking macht das Laden einer Website viel schneller
Mehr Kontrolle über Ihre Zertifikate
Eine weit verbreitete Technik für mehr Kontrolle darüber, welches Zertifikat eine Website oder Anwendung verwendet, war das Public Key Pinning. Anfang 2018 kündigte Google an, die Unterstützung für Public Key Pinning einzustellen, da es inzwischen bessere Alternativen gibt – beispielsweise die Verwendung von Zertifikatstransparenz in Kombination mit CAA-Einträgen.
Sicherungs-Zertifikate
Bei der Verwendung von SSL-Zertifikaten besteht immer die Gefahr des Widerrufs, z. B. aufgrund einer Kompromittierung des privaten Schlüssels oder unvorhergesehener externer Situationen. In vielen Fällen ist eine CA verpflichtet, Zertifikate innerhalb von 5 Tagen oder sogar 24 Stunden zu widerrufen, um konform zu bleiben. Um zu verhindern, dass häufig besuchte Websites oder kritische Anwendungen unzugänglich werden, oder wenn Ihre Systeme viel Zeit für den Austausch benötigen, ist es ratsam, Sicherungszertifikate von einer anderen CA und ein Root-Zertifikat für diese Anwendungen anzufordern. In dem unwahrscheinlichen Fall, dass etwas passiert, können Sie die betroffenen Zertifikate sofort ersetzen. Bitte kontaktieren Sie uns für weitere Informationen über die Möglichkeiten.
Erzwingen sicherer Verbindungen
Ein Schritt, der über die Gewährleistung der Zugänglichkeit der gesamten Website über https:// hinausgeht, besteht darin, die Nutzung von https:// durchzusetzen. Hierfür gibt es verschiedene Techniken, wie z.B. die Einrichtung einer Umleitung von http:// auf https://. Um zu verhindern, dass ein Besucher auf eine ungesicherte Seite umgeleitet wird, können Sie auch HTTP Strict Transport Security aktivieren. Wenn ein Besucher auf Ihrer sicheren Website war, erhält der Browser den HTTP Strict Transport Security Header und erinnert sich daran, dass die Website nur über SSL besucht werden kann.