Pfeil- und Text-Symbol

Betrachtung von HTTP(S)

Im Durchschnitt sind ca. 5 - 15% des HTTP-Verkehrs überhaupt verschlüsselt.

Im Fachbereich Informatik der Westfälischen Hochschule betrug die Verteilung im Januar 2007 (siehe Abb. 1) noch zu 67% das unsichere RC4/{MD5, SHA1} und nur 33% das sichere AES/SHA1. Hingeben wies die Verteilung im Januar 2008 (siehe Abb. 2) nur noch 35% RC4/{MD5, SHA1} und dafür 65% AES/SHA1 auf.

Abbildung 1: HTTPS Fachbereich Informatik Januar 2007
Abbildung 1: HTTPS Fachbereich Informatik Januar 2007
Abbildung 2: HTTPS Fachbereich Informatik Januar 2008
Abbildung 2: HTTPS Fachbereich Informatik Januar 2008

Ein solch positiver Trend hin zu sicherer TLS/SSL-Benutzung ist leider nicht überall zu beobachten. Bei einem Partner (siehe Abb. 3) des Instituts für Internet-Sicherheit ist im Januar 2008 der RC4/MD5-Anteil 88%, AES/SHA1 nur knapp 10%.

Abbildung 3: HTTPS Business Firma Januar 2008
Abbildung 3: HTTPS Business Firma Januar 2008

Bei einem weiteren Partner, einem kleineren Internet-Service-Provider (ISP), liegen für das Jahr 2008 ebenfalls Statistiken (siehe Abb. 4) vor, doch auch hier sind die unsicheren Verfahren dominant. Der ISP wies zu 71% RC4/MD5, zu 23% AES/SHA1 und zu 5% Triple-DES/SHA1 auf.

Abbildung 4: HTTPS Internet-Service-Provider 2008
Abbildung 4: HTTPS Internet-Service-Provider 2008

Um zu erforschen, wie der hohe unsichere Verschlüsselungsanteil bei der Business-Firma zustande kommt, wird die Browserverteilung hinzu gezogen. Der Internet-Explorer 6, welcher nur unzureichende Verschlüsselungsverfahren aufweist, beträgt hier 44%. Da dies nicht den kompletten Anteil von 88% erklären, liegt die Vermutung nahe, dass die Web-Server vor Ort noch zahlreiche veraltete Software-Komponenten und -Konfigurationen aufweisen. Das erklärt auch, warum einige wenige Verbindungen mit einem leeren Session-Key „verschlüsselt“ werden. D.h. der Benutzer sieht in seinem Browser das Schloss, welches Sicherheit suggeriert, aber seine geheimen Daten werden dennoch im Klartext übermittelt.

Abbildung 5: HTTP Browserverteilung Business Firma 2008
Abbildung 5: HTTP Browserverteilung Business Firma 2008

Zum Seitenanfang springen