it-swarm.com.de

Stirbt SSL? Soll ich für meine Websites keine SSL-Zertifikate mehr kaufen?

Ich plane, ein SSL-Zertifikat für eine meiner Websites zu erwerben, wenn ich mir Gedanken über die in diesen Artikeln gemachten Punkte mache:

Ist SSL nicht mehr sicher? Worüber reden sie? Ich dachte, SSL sei kugelsicher, aber jetzt bin ich verwirrt.

Wenn SSL im Hinblick auf den Schutz der zwischen meinen Clients und meinem Server über HTTP ausgetauschten Informationen nicht mehr sicher ist, welche Optionen stehen mir außer einem SSL-Zertifikat zur Verfügung?

49
datasn.io

Alle außer dem dritten Link beziehen sich auf SSLv3 (Version 3), das von der Pudel-Sicherheitsanfälligkeit betroffen ist. Sie sollten das TLS-Protokoll verwenden, das der Nachfolger von SSL ist und nicht betroffen ist. Sie sollten Ihren Webserver so konfigurieren, dass er TLS 1.0, 1.1 und 1.2 unterstützt. Dies sollte die meisten Geräte abdecken, abgesehen von einigen archaischen Geräten wie IE6.0, und dennoch sicher bleiben. Das für beide Protokolle verwendete Zertifikat ist das gleiche.

Die meisten Massenmedien-Websites bezeichnen TLS/SSL einfach als SSL. Sie sind eigentlich zwei separate Protokolle.

Weitere Informationen hier: Was ist der Unterschied zwischen SSL, TLS und HTTPS?

Der dritte Link bezieht sich auf IPv6, das SSL ersetzt. Meiner Meinung nach wird es noch einige Jahre dauern, bis IPv6 zum De-facto-Adressierungsschema wird. In der Zwischenzeit sichert ein SSL-Zertifikat Ihre Site. Schließlich können Sie ein Zertifikat für die Dauer von 1-2 Jahren kaufen, wenn Sie befürchten, dass es in naher Zukunft veraltet sein wird.

88
limbenjamin

Sie stoßen auf ein bisschen Terminologie-Verwirrung. SSL kann zwei Dinge bedeuten:

  1. Das Secure Sockets Layer-Protokoll , Versionen 1, 2 oder 3.

  2. Die generische SSL/TLS Familie von Sicherheitsprotokollen.

Die SSL-Definition 1 ist völlig veraltet und sollte nicht verwendet werden. Die SSL-Definition 2 ist noch sehr lebendig, und die guten Teile der SSL-Definition 1 (wie ein Großteil des Zertifikatmechanismus) sind in den modernen TLS-Standards enthalten.

28
Mark

Abgesehen von den anderen guten Antworten zur Verwirrung zwischen SSL und TLS und Zertifikaten kann die Frage, ob Sie weiterhin ein SSL-Zertifikat "kaufen" sollten, durch den bevorstehenden Start von Let's Encrypt (gesponsert von der EFF, Mozilla et al.) Werden ab 2015 kostenlose und schlüsselfertige SSL-Zertifikate anbieten.

Sofern Sie kein ausgefallenes Zertifikat benötigen (EV, Platzhalter usw., das Let's Encrypt möglicherweise nicht unbedingt bereitstellen kann), können Sie deren Zertifikate auf Ihrer Website verwenden, ohne einen Cent bezahlen zu müssen.

Obwohl es bereits einige andere Zertifizierungsstellen gibt, die kostenlose Zertifikate anbieten (wobei Startcom eines der bekannteren Beispiele ist), glaube ich, dass Let's Encrypt der erste große Player sein wird, der ein kostenloses Angebot auch auf kommerzielle Websites ausdehnt.

12
Scott Dudley

Infosec Island: IPv6 - Der Tod von SSL

Der Artikel befasst sich mit der Verwendung von IPSec als integraler Bestandteil von IPv6 anstelle von SSL/TLS. IPSec verschiebt die Verschlüsselung hauptsächlich von der Anwendungsschicht in die Transportschicht.

Das Hauptproblem bei SSL/TLS sind jedoch keine Fehler im Protokoll oder im Kryptocode. Stattdessen ist das Hauptproblem die PKI, dh die ordnungsgemäße Verwendung von Zertifikaten und Zertifizierungsstellen, um Vertrauen aufzubauen und zu verbreiten und somit eine vertrauenswürdige Authentifizierung bereitzustellen. IPSec hat in diesem Bereich keine Verbesserungen. Selbst wenn IPSec überall verwendet wird, wird es wahrscheinlich dieselbe defekte PKI verwenden, die wir bereits mit SSL/TLS verwenden. In beiden Fällen sind Zertifikate erforderlich.

12
Steffen Ullrich