It’s all about encryption… | Dean Coclin (DigiCert)
„Encryption Everywhere“ – mit dieser Initiative, die in Zusammenarbeit mit DigiCert entstanden ist, möchte InterNetX alle Websites mit TLS/SSL-Zertifikaten ausstatten. Erfahren Sie, wie der Online-Datentransfer mit Encryption sicherer wird. Lassen Sie uns das schützen, was uns besonders am Herzen liegt: Domains!
Published by
Simone Catania
Date
Sie können die Domain-Welt durch die Registrierung angesagter new gTLDs, mit premium ccTLDs und brandingstarken .com Domains erobern.
Doch was nützt eine Domain, wenn Sie nicht gesichert ist? Eine Website ohne verschlüsselte Kommunikation kann bei Nutzern kein Vertrauen erwecken. Es kann auch vorkommen, dass Ihre Website dann in Browsern nicht mehr angezeigt wird, was sich negativ auf die Platzierung in den SERPs auswirken würde. Außerdem gibt es zahlreiche Informationen, die bei der digitalen Kommunikation geheim gehalten werden müssen. Aus diesem Grund ist die Encryption im digitalen Raum ein absolutes Muss. Sie verhindert, dass Dritte Daten auslesen und abfangen, die zwischen Usern und Websites übertragen werden.
Um mehr über den Vorgang der Informationsverschlüsselung zu erfahren, haben wir mit Dean Coclin gesprochen. Als Senior Director of Business Development bei DigiCert ist er für die Entwicklung strategischer Allianzen und für die Vertretung des Unternehmens in den jeweiligen Branchenverbänden zuständig. Ferner ist er der derzeitige Vorsitzende des CA//Browser-Forums und hat zudem den Vorsitz der ASC X9 PKI Study Group inne. Mit über 30 Jahren Erfahrung in den Bereichen Software, Sicherheit und Telekommunikation ist er ein echter Fachmann.
Verpassen Sie nicht dieses Interview aus unserer Reihe „It’s all about domains…“, in dem Dean für uns aufschlüsselt, wie Encryption funktioniert, ein Thema, das alle Domain-Inhaber interessieren sollte.
Encryption schafft Sicherheit. Sobald wir etwas digital signieren, ist die Integrität gewährleistet, denn sollte der Empfänger die Signatur nicht verifizieren können, wird klar, dass die Nachricht verändert wurde. Schließlich möchten wir sichergehen, dass die von uns gewünschten Dienste verfügbar sind, unabhängig davon, ob es sich um Dienste zur Sperrung von Zertifikaten, zur Beantragung von Zertifikaten oder zur Erneuerung von Zertifikaten handelt.
Warum sollte der Traffic zwischen Domains verschlüsselt sein?
Durch die Verschlüsselung der Kommunikation zwischen Browsern und Servern oder innerhalb einzelner Server können Daten vor allen, die den Daten-Traffic mitverfolgen, geheim gehalten werden. Ohne Verschlüsselung könnte ein Lauscher private Daten lesen und stehlen.
Aktuell ist mehr als 92% des Internet-Traffic verschlüsselt – vor einigen Jahren lag dies noch bei weniger als 50%. Zu jener Zeit war es für alle denkbar einfach, in ein Café mit öffentlichem WLAN zu gehen und den gesamten unverschlüsselten Daten-Traffic des Netzwerks „abzuhören“. Sie konnten Benutzernamen, Passwörter und andere private Daten einsehen Inzwischen ist dies ein sehr geringes Risiko geworden, eine unverschlüsselte Übertragung ist heute selten.
Welche Standards gibt es für die Verschlüsselung des Traffics zwischen Domains?
Über Jahre hinweg hat das Internet Encryption-Verfahren mit Public Keys genutzt, um den Daten-Traffic zu schützen. Der Standard wird als TLS (Transport Layer Security) bezeichnet. SSL (Secure Sockets Layer) war der vorherige Standard und wurde Mitte der 90er Jahre von Netscape entwickelt.
Jahre später erfolgte die Umstellung auf TLS. Diese Art der Verschlüsselung nutzt das auf RSA (Rivest-Shamir-Adleman) und ECC (Elliptic-Curve Cryptography) basierte Public-Key Encryption-Protokoll in Verbindung mit der AES (Advanced Encryption Standard) Secret Key Encryption, wodurch die Daten chiffriert und ausschließlich für den Empfänger lesbar sind. Dieser Standard wird nicht nur für den Internet-Traffic, sondern auch für den Traffic in privaten Netzen verwendet.
Wie funktioniert Encryption?
Generell wird bei Encryption der reine Text mit Hilfe eines mathematischen Schlüssels in einen chiffrierten Text umgewandelt. Der verschlüsselte Text kann von jemandem ohne den Key nicht eingesehen werden. Der Empfänger benutzt den Key, um die Daten zu entschlüsseln und sie wieder in Klartext zurück zu wandeln.
Ein entscheidender Punkt bei der Verschlüsselung ist die Schlüsselstärke. Der Key muss lang genug sein, um alle potenziellen Angriffe zu blockieren, mit denen er geknackt werden könnte. Mit zunehmender Rechenleistung hat sich auch die Länge der Keys erweitert. Die derzeitige Mindestgröße für RSA Keys beträgt 2048 Bit und für AES 256 Bit.
Heute stehen wir vor einer möglichen Bedrohung durch Quantencomputer. Ein neu entwickelter Quantencomputer mit einer ausreichenden Anzahl von Qubits könnte die RSA und ECC Encryption knacken. Aus diesem Grund befasst sich die Fachwelt mit „quantensicheren“ Algorithmen, die Angriffen von Quantencomputern standhalten könnten. Auch wenn diese Bedrohung wahrscheinlich noch Jahre entfernt ist, sollte man sich jetzt schon darauf vorbereiten!
Wie können wir den Traffic zwischen Domains verschlüsseln?
Wie bereits erwähnt, sind die RSA- und ECC-Verschlüsselungen mit Public Keys wichtige Bestandteile bei der Internet-Verschlüsselung. Diese werden jedoch dazu verwendet, eine verschlüsselte Sitzung aufzubauen, bei der im Nachhinein ein geheimer Key (mit AES) ausgetauscht wird. Mit dem geheimen Key wird der Traffic zum Empfänger chiffriert. Jedes Gerät muss über die entsprechende Software verfügen, um die Encryption/Decryption vornehmen zu können. In Browsern sind diese Protokolle als Teil ihres Dienstes enthalten.
Viele andere Softwareprodukte verfügen ebenfalls über solche “cryptographic libraries”, mit denen diese Funktion gewährleistet wird.
Wird durch Encryption auch die Privatsphäre der Nutzer geschützt?
Die Verschlüsselung schützt die Privatsphäre des Nutzers auf zwei Arten:
- Zum einen werden die Daten bei der Übertragung verschlüsselt und sind somit für Lauscher unlesbar. Auf diese Weise werden Kreditkartennummern, Passwörter und andere private Daten geheim gehalten.
- Zum anderen bleiben die Internet-Sitzungen der Nutzer privat, d. h. Eindringlinge haben keine Möglichkeit herauszufinden, welche Websites die Nutzer besuchen.
Reicht die Verschlüsselung aus? Was können wir sonst noch tun?
Zwar wird durch die Verschlüsselung der Datenschutz gewährleistet, doch es ist zusätzlich noch eine Authentifizierung notwendig. Welchen Sinn hätte eine Verschlüsselung, wenn wir nicht wüssten, wer die verschlüsselten Daten empfängt? Daher ist es wichtig, dass sich beide Seiten mittels Public Key Encryption gegenseitig authentifizieren. Die Nutzer müssen die Gewissheit haben, dass es sich bei der besuchten Website auch wirklich um die von ihnen aufgesuchte handelt. Folglich sollten Identitätsinformationen, die in einigen TLS-Zertifikaten enthalten sind, für Internetnutzer leicht zugänglich sein.
Wir sollten uns immer die drei Säulen der Cybersicherheit vor Augen halten, nämlich Vertrauenswürdigkeit, Integrität und Verfügbarkeit.
Encryption schafft Sicherheit. Sobald wir etwas digital signieren, ist die Integrität gewährleistet, denn sollte der Empfänger die Signatur nicht verifizieren können, wird klar, dass die Nachricht verändert wurde. Schließlich möchten wir sichergehen, dass die von uns gewünschten Dienste verfügbar sind, unabhängig davon, ob es sich um Dienste zur Sperrung von Zertifikaten, zur Beantragung von Zertifikaten oder zur Erneuerung von Zertifikaten handelt. Wenn diese Dienste nicht verfügbar sind, sind die Nutzer unmittelbar davon betroffen.
Kann ein Multi-Domain-Zertifikat vorteilhaft sein?
InterNetX ist ein DigiCert Platinum Elite Certified Partner. Dank der hohen Qualität der TLS/SSL-Zertifikate und zusätzlicher Features wie dem DigiCert Smart Seal, Malware-Scanning oder einem Vulnerability-Assessment-Scan sind Sie umfassend gegen Sicherheitsbedrohungen aus dem Internet geschützt.
Ja, das kann es. Websites verwenden TLS/SSL-Zertifikate, um die Website zu authentifizieren und eine verschlüsselte Sitzung zwischen dem Browser und dem Server herzustellen. Der Website-Server kann ein Multi-Domain-Zertifikat haben, das die Hauptdomain und zusätzlich eine oder mehrere Domains schützt. Das heißt, es müssen weniger Zertifikate verwaltet werden, was dem Käufer des Zertifikats Kostenersparnisse einbringt. DigiCert bietet alle Arten von Zertifikaten für die Authentifizierung und Verschlüsselung an, darunter auch Wildcard- und Multidomain-Zertifikate.