749634

Neuer Standard für sichere Web-Verbindungen in Sicht

16.11.2010 | 17:04 Uhr |

Mit HSTS steht ein neuer Standard für sicher verschlüsselte Web-Verbindungen in den Startlöchern. Er forciert Server-seitig die Nutzung einer SSL-verschlüsselten Verbindung, auch wenn der Anwender diese nicht explizit anfordert.

Die meisten Web-Seiten werden unverschlüsselt übertragen, was in aller Regel auch unproblematisch ist. Doch spätestens bei der Nutzung von Online-Diensten wie Web-Mail oder sozialen Netzwerken, die eine Benutzeranmeldung erfordern, sollte eine Verschlüsselung aller übertragenen Daten erfolgen. Internet-Nutzer wissen oft gar nicht, dass eine Website auch eine gesicherte Verbindung anbietet. Hier soll HSTS in Zukunft Abhilfe schaffen.

HTTP Strict Transport Security (kurz: HSTS) ist ein Sicherheitsmechanismus, der zurzeit den Standardisierungsprozess der IETF (Internet Engineering Task Force) durchläuft. Wenn eine Website HSTS unterstützt, fordert sie den Besucher auf die sichere Verbindungsvariante zu nutzen statt der unverschlüsselten. Spionage-Tools wie Firesheep  werden dann weitgehend nutzlos.

Eine Website signalisiert dem Browser mit einem speziellen HTTP-Header, dass sie eine verschlüsselte Verbindung anbietet:

Strict-Transport-Security: max-age=60000; includeSubdomains

Dabei gibt der Parameter "max-age" an, für wie viele Sekunden sich der Browser diese Information merken soll. Die optionale Angabe "includeSubdomains" teilt dem Browser mit, dass die Nutzung der SSL-Verschlüsselung auch für Sub-Domains (etwa mail.server.net) gelten soll.

Derzeit unterstützt Googles Web-Browser Chrome bereits HSTS, Firefox soll ab Version 4 hinzu kommen. Bereits jetzt können die Firefox-Erweiterungen  Noscript  und Force-TLS  damit umgehen. Mit der Firefox-Erweiterung HTTPS Everywhere  können Sie einen ähnlichen Effekt erzielen, nur eben Client-seitig. Microsofts neuer Browser Internet Explorer 9 ist dagegen noch nicht fit für HSTS.

0 Kommentare zu diesem Artikel
749634