Entrust Datacard empfiehlt flächendeckendes HTTPS

Minneapolis/München, 29. September 2016 - Entrust Datacard, ein führender Anbieter von Identitäts- und Sicherheitstechnologien, empfiehlt mit Blick auf die Ausweitung der Bedrohungslage die unternehmensweite Nutzung von HTTPS.

In regelmäßigen Abständen nutzen Angreifer Schwachstellen bei der unverschlüsselten Übertragung von Informationen aus und entwickeln entsprechende Angriffsmuster. In diesem Sommer wurde beispielweise ausführlich über die Nutzung einer Schwachstelle mit dem harmlosen Namen HTTPoxy berichtet. Diese Schwachstelle erlaubt es einem Angreifer, den ausgehenden Datenverkehr eines Servers umzuleiten und so mitzulesen. Dazu muss der Angreifer lediglich einen bestimmten HTTP-Header an den Server schicken. Diese Sicherheitslücke ist zwar seit mehr als fünfzehn Jahren bekannt und dennoch klafft diese Lücke nach wie vor in vielen Server-Konfigurationen.

Diese Sicherheitslücke ist mit geringem Aufwand zu schließen (siehe Link unten), dennoch macht sie ein grundlegendes Problem deutlich: Die enorme Anzahl an Sicherheitslücken macht die manuelle Bearbeitung unsicher. Immer wieder werden bekannte Lücken schlichtweg vergessen. Oberste Priorität sollten daher Maßnahmen sein, die die Grundsicherheit des Netzes auf breiter Front erhöhen und eine Vielzahl von Schwachstellen auf einen Schlag schließen. Statt sich auf das Kurieren von Symptomen zu fokussieren, sollten die Ursachen bekämpft werden. Dieses Vorgehen würde nachhaltig wirken und so zumindest mittelfristig Budgets und Nerven schonen.

Eine dieser Maßnahmen ist die flächendeckende Einführung von HTTPS auf allen internen wie externen Servern. Obwohl Internetgrößen wie Google es bereits seit Jahren einfordern, wird HTTPS noch immer nicht flächendeckend eingesetzt. Die breite Einführung von HTTPS würde schlagartig die Sicherheit aller Sites erhöhen, ohne dass es eine Rolle spielt, welche Inhalte dort tatsächlich angeboten werden. HTTPS vereitelt neben HTTPoxy auch eine ganze Reihe weiterer Angriffe wie SSLstrip und Firesheep. Es schützt zudem die Privatsphäre der Nutzer. Weiherhin wird durch HTTP Strict Transport Security (HSTS) die Aushebelung der Verbindungsverschlüsselung durch Downgrade-Attacken verhindert und das Session Hacking unterbunden. Zusätzlich würde die Verbreitung HTTP/2 gefördert. Auch auf die SEO-Eigenschaften mit Blick auf das eigene Google-Ranking wirkt sich HTTPS positiv aus.

"Die grundlegende Sicherheit des Internets würde durch die flächendeckende Einführung von HTTPS deutlich verbessert. Es bleibt also nur an die Verantwortlichen zu appellieren, ihre Server mit HTTPS auszustatten", sagt Lars Plantzen, Account Manager Central Europe bei Entrust Datacard. "Auch, wenn es auf den ersten Blick vielleicht etwas altruistisch wirkt, profitiert mittelfristig jeder einzelne davon, da sich die Grundsicherheit des gesamten Internets deutlich erhöhen würde."

Entrust Datacard präsentiert sein gesamtes Produktportfolio im Bereich Identity und Security vom 18. bis 20. Oktober auf der IT-Security Messe it-sa in Nürnberg. Auf der größten Spezialmesse für IT-Sicherheit zeigt Entrust Datacard insbesondere die bekannten Zertifikate, eine unternehmensweite Zertifikatsverwaltung sowie Lösungen zur IoT-Sicherheit und Enterprise-PKI. Besucher finden Entrust Datacard in Halle 12 am Gemeinschaftsstand des Distributors ectacom (Stand 12.0-562). Gerne stellt Entrust Datacard Besuchern auch ein kostenloses Messeticket zur Verfügung. Zur Terminvereinbarung wenden sich Interessenten bitte per Email an Herrn Lars Plantzen unter lars.plantzen(at)entrust.com.

Eine detailliertere Beschreibung von HTTPoxy und wie man die Sicherheitslücke schließt, findet man in folgendem Beitrag im IDentityON-Blog von Entrust: https://www.entrust.com/httpoxy-another-reason-https-everywhere/

Mehr zum Thema unternehmensweites HTTPS finden Interessenten auf der Website https://www.entrust.com/ssl-certificates/

• Über Entrust Datacard
• Weitere Meldungen
• Diesen Pressetext kommentieren
• Pressemitteilung veraltet?