Always On SSL: Webseiten nur noch verschlüsselt

Im Rahmen der URZ-Sicherheitsinitiative 2014 möchten wir die Sicherheit beim Surfen auf Webseiten der TU Chemnitz erhöhen. Für E-Mail-Abrufe und Webanwendungen, wie z. B. Webmail, Web-Trust-Center, Identitätsmanagement oder das Ticketsystem OTRS, sind zum Schutz der übertragenen Daten seit Jahren nur noch verschlüsselte Verbindungen zugelassen. Die Webseiten der zentralen Webserver sind bis jetzt jedoch auch ohne Schutz abrufbar. Neben öffentlichen Inhalten werden hier aber auch personenbezogene Daten oder Formulardaten übertragen, die genauso schützenswert sind.

httpsUnter dem Motto „Warum unverschlüsselt, wenn es auch verschlüsselt geht?” wollen wir ab Mittwoch, 10. September 2014 alle Webseitenabrufe der zentralen Webserver ausschließlich über das kryptografisch sichere Protokoll HTTPS abwickeln. Für die Besucher unserer Webseiten wird das keine Einschränkung bedeuten – etwaige über HTTP unverschlüsselt angeforderte Webseiten werden automatisch in eine gesicherte Verbindung umgeleitet. Erkennbar wird dies durch ein Schlosssymbol im Webbrowser.

Aus technischer Sicht bedeutet dies eine strikte Umleitung von http-Anfragen über Port 80 an den https-Port 443. Daneben wird der Header Strict-Transport-Security gesetzt, der dem Webbrowser anzeigt, dass jeglicher Datenaustausch mit dem Server verschlüsselt erfolgen soll. Alle aktuellen Browser bis auf den Internet Explorer unterstützen dies und verhindern somit eine unverschlüsselte Datenübertragung zu unseren Webservern. Die von den Servern eingesetzten Verschlüsselungsverfahren passen wir regelmäßig an die aktuelle Bedrohungslage durch bekannt gewordene Sicherheitslücken an. So unterstützen unsere Server Algorithmen für Forward Secrecy, das als „knackbar“ geltende Verfahren RC4 dagegen nicht mehr (siehe Online-Test bei SSLlabs.com).

Mit dieser Umstellung reihen wir uns in eine immer größer werdende Zahl von Internet-Anbietern ein, die der Initiative „Always On SSL“ der Online Trust Alliance folgen und nur noch https zulassen. Die Betreiber eigener Webserver an der TU Chemnitz fordern wir auf, sich dieser Initiative anzuschließen. Nötige Zertifikate und Unterstützung erhalten die Betreiber vom URZ über webmaster@tu-chemnitz.de.

3 Antworten zu „Always On SSL: Webseiten nur noch verschlüsselt“

  1. Frank Richter

    Seit heute, 10. September ist es nun scharf: http://www.tu-chemnitz.de leitet auf https://www.tu-chemnitz.de um (www-user analog), bei https wird Strict-Transport-Security gesetzt.
    Und: Wir haben A+ 🙂 https://www.ssllabs.com/ssltest/analyze.html?d=www.tu-chemnitz.de&s=134.109.226.8
    Bemerkt das jemand?

  2. André

    Warum wird bei http://www.tu-chemnitz.de ein anderes Zertifikat verwendet als bei mail.tu-chemnitz.de?

    1. Frank Richter

      Jeder Server braucht sein eigenes Zertifikat. Bei mail.tu-chemnitz.de und wtc.tu-chemnitz.de haben wir uns Extended-Validation-Zertifikate (EV) von einem kommerziellen Provider ausstellen lassen, die in den Browsern grün (= „besonders vertrauenswürdig“) dargestellt werden. Nur „grüne“ EV-Zertifikate einzusetzen, würde allerdings unser Budget sprengen. Daher sind diese nur bei Diensten verwendet, die die direkte Eingabe des Passwortes erfordern.

      Bei anderen Servern, wie http://www.tu-chemnitz.de und dutzenden anderen, ist der Aussteller unsere eigene Zertifizierungsstelle (betrieben über den DFN), die leider keine EV-Zertifikate ausstellt.

Schreibe einen Kommentar