Inspektion von HTTPS-Verbindungen: Fluch oder Segen? (Teil 1)

Inspektion von HTTPS-Verbindungen: Fluch oder Segen? (Teil 1)

Auch unsichere Websites können das HyperText Transfer Protocol Secure (HTTPS) verwenden. Daher lassen sich bösartige Aktivitäten unter etablierter Verschlüsselung nicht ausschließen. Durch Inspektion von HTTPS-Verbindungen können schädliche Inhalte auch in verschlüsselten Verbindungen gefunden werden. Auf welche Fallstricke dabei zu achten ist, erfahren Sie hier.

Früher war alles besser: Zum einen gab es weniger bzw. weniger ausgefeilte Malware und zum anderen konnte man mit einer Firewall den Datenverkehr recht einfach analysieren, da dieser im Klartext vorlag. Doch unter anderem im Zusammenhang mit der Snowden-Affäre ist klarer geworden, wie einfach es z. B. für einen staatlichen Angreifer ist, Klartext-Daten mitzuschneiden oder zu manipulieren. Und selbst ein wenig versierter Angreifer kann dank einer Vielfalt von Programmen einen derartigen Angriff im lokalen Netzwerk, wie zum Beispiel an einem öffentlichen WLAN-Hotspot, durchführen.

Aus diesem Grund werden immer mehr Daten verschlüsselt übertragen, die meisten davon im Web mittels HTTPS. Und war HTTPS früher wegen der Kosten und des nötigen Know-hows primär größeren Websites vorbehalten, so bieten seit der Verfügbarkeit billiger und kostenloser Zertifikate wie „Let's Encrypt“ inzwischen auch viele kleine Websites HTTPS an. Dadurch wird es einem Angreifer zunehmend schwerer gemacht, unbemerkt Daten mitzuschneiden oder zu manipulieren. Aber wo man sich früher zumindest halbwegs auf eine solide interne Sicherheit derjenigen Websites verlassen konnte, die in der Lage waren, HTTPS zu betreiben, bedeutet die heutige universelle Nutzung, dass immer mehr unsichere und somit eventuell gehackte Websites HTTPS benutzen.

Angriffsrisiken durch unsichere Websites

Um die letztere Gefahr einmal zu verdeutlichen: Etwa 30 Prozent aller Websites werden heutzutage mit Wordpress betrieben, einem Content Management System, das regelmäßig von kritischen Sicherheitsproblemen geplagt wird. Begünstigt von dieser Monokultur haben sich Angreifer Werkzeuge geschaffen, mit denen das Internet automatisch nach unsicheren Installationen gescannt wird, diese gehackt und zum Beispiel zur Auslieferung von Malware oder für Phishing benutzt werden. Eine zunehmende Anzahl dieser unsicheren Websites ist mit HTTPS verfügbar. Auch renommierte Firmen sind betroffen, wie zum Beispiel die Sicherheitsfirma Trend-Micro, deren Blog beim letzten kritischen Sicherheitsproblem in Wordpress gehackt wurde.

Offensichtlich kann ein Angreifer also einfach seine bösartigen Aktivitäten unter Nutzung etablierter und akzeptierter Verschlüsselung verstecken. Entsprechend besteht der Wunsch, in Firewalls und anderen Sicherheitsprodukten die Verschlüsselung aufzubrechen, um die Daten sicherheitshalber analysieren zu können. Das ist auch in vielen Fällen möglich. Es ist jedoch mit eigenen Problemen verbunden und kann bei fehlerhafter Nutzung sogar zu neuen Sicherheitsproblemen führen.
Im Folgenden wird beschrieben, wie HTTPS funktioniert, wie man HTTPS trotz Verschlüsselung inspizieren kann, welche Probleme es dabei gibt und wie die High Resistance Firewall genugate mit derartigen Problemen umgeht.

Wie funktioniert HTTPS?

HTTPS nutzt das TLS-Protokoll (oft auch als SSL bezeichnet), um eine Ende-zu-Ende-Verschlüsselung zwischen dem Client (Webbrowser) und dem Server zu erreichen. Ziel ist es dabei, sowohl ein Mitlesen der transportierten Daten, wie auch eine Modifikation der Daten zu verhindern. Um dieses Ziel zu erreichen, überprüft der Client beim Aufbau der TLS-Verbindung (TLS-Handshake), dass er tatsächlich mit dem erwarteten Server redet (Authentisierung) und handelt mit dem Server die benutzen Verschlüsselungsverfahren und die dazugehörigen Schlüssel aus (Key-Exchange). Nach dem erfolgreichen Verbindungsaufbau findet dann die eigentliche, verschlüsselte Übertragung der Daten statt.

TLS-VerschlüsselungEnde-zu-Ende-Verschlüsselung mit TLS

Eine korrekte Authentisierung des Servers ist essentiell für einen vertraulichen Datenaustausch. Wird die Authentisierung fehlerhaft durchgeführt, so kann es einem Angreifer gelingen, sich gegenüber dem Client als das korrekte Ziel der Verbindung auszugeben. Dieses ermöglicht einen sogenannten Man-In-The-Middle-Angriff, bei dem Client und Server der Ansicht sind, direkt miteinander verschlüsselt zu kommunizieren, in Wirklichkeit aber die Daten mit dem Angreifer austauschen. Dieser kann sie dann entschlüsseln, lesen und modifizieren um sie erneut verschlüsselt zur jeweils anderen Seite weiterzuleiten.

Man-In-The-Middle-AngriffMan-In-The-Middle-Angriff

Die Authentisierung erfolgt bei HTTPS mittels Zertifikaten. Ein Zertifikat ist ein elektronisches Dokument, welches von einer Zertifizierungsstelle (Certificate Authority, CA) elektronisch unterschrieben (signiert) ist. Während der Validierung eines Zertifikats durchsucht der Client die Liste aller im Browser oder Betriebssystem als vertrauenswürdig bekannten CA's (i. A. bezeichnet als Trust Store oder Trusted Root CA) nach der CA, welche das Zertifikat unterschrieben hat und überprüft die Gültigkeit der Signatur. Es wird auch überprüft, ob der aktuelle Zeitpunkt innerhalb des im Zertifikat vermerkten Gültigkeitszeitraums liegt und ob das Zertifikat eventuell explizit für ungültig erklärt wurde (revoked). Schließlich wird bei HTTPS noch überprüft, ob das Zertifikat überhaupt für den gewünschten Zielserver ausgestellt wurde.

Zusätzlich zur Validierung des Zertifikats im Browser wird sichergestellt, dass nur der Webserver sich selbst mit diesem Zertifikat ausweisen kann. Dazu wird asymmetrische Kryptographie benutzt, bei der der öffentliche Teil des Schlüssels im Zertifikat zu finden ist, der private Teil jedoch nur dem Webserver bekannt ist. Während des TLS-Handshakes beweist der Server gegenüber dem Client mittels kryptografischer Operationen, dass er im Besitz des privaten Schlüsselteils ist.

Wenn die Authentisierung korrekt durchgeführt wurde, so wird ein versuchter Man-In-The-Middle-Angriff vom Client entdeckt. Browser ermöglichen in vielen Fällen zwar dem Nutzer, sich ausnahmsweise trotzdem mit dem Server zu verbinden, aber erst nach deutlicher und abschreckender Warnung. Diese Ausnahmen sind sinnvoll, da derartige Authentisierungsprobleme nicht nur bei einem tatsächlichen Angriff auftreten, sondern zum Beispiel auch beim Zugriff auf Server, dessen Zertifikat nicht von einer öffentlichen und dem Browser bekannten CA ausgestellt wurde. Das ist oftmals der Fall beim Zugriff auf interne Server, zum Beispiel bei der Konfiguration von Routern, Firewalls oder auch Druckern.

Welche Sicherheitsprobleme durch die Inspektion von HTTPS auftreten können und wie Sie diese vermeiden, erfahren Sie im zweiten Teil dieses Beitrags.

 

Bildquellen: © bagotaj - Fotolia.com


Lesen Sie auch

Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.