HTTPS Analyse von GV.AT Domänen

erschienen in #E-Government, IT-Sicherheit vom 7.11.2014

In diesem Projekt wurden die Eigenschaften von österreichischen gv.at Domänen analysiert. Der Fokus wurde dabei auf die Unterstützung von TLS (Anbieten der Dienste über HTTPS) gelegt. Im Rahmen dieses Projekts wurde das Rahmenwerk für die automatische Analyse geschaffen und die ersten Ergebnisse im Rahmen einer Kurzstudie präsentiert.

Im Folgenden wird eine kurze Zusammenfassung der wichtigsten Fakten gegeben (Beachten Sie, dass es sich um eine Analyse aus 2014 handelt. Die Verteilung hat sich seither sehr wahrscheinlich verändert):

  • Es wurden 1285 Dienste analysiert, 763 davon unterstützten das HTTPS-Protokoll nicht.
  • Bei den 522 Services, die HTTPS anbieten, ergibt sich folgendes Bild:
    • Davon bieten 59 Services dediziert HTTPS an. Bei den anderen 463 Diensten handelt es sich um providerspezifsche Standardseiten oder Dienste die nicht für das Anbieten über HTTPS gedacht sind, aber ein Test-Zertifikat verwenden.
    • Die Services wurden vor allem auf die verwendeten TLS-Ciphersuites analysiert, da diese maßgeblich die Sicherheit der aufgebauten TLS-Verbindungen beeinflussen:
      Cipher-Suites

Alle Details dazu finden Sie im Projektbericht.

Verwendung von SHA-1 in Zertifikaten

Mehrere Hersteller von Web-Browsern beabsichtigen, den weit verbreiteten Hash-Algorithmus durch neuere Alternativen abzulösen. Dazu wurden Richtlinien beschlossen, die ein schrittweises Auslaufen der Unterstützung von SHA-1 in Web-Browser vorsehen.

Die nachfolgende Tabelle illustriert die Unterstützung von SHA-1 in chronologischer Hinsicht und zeigt die Behandlung in den jeweiligen Web-Browsern an (Situation 2014). Die unterschiedliche Behandlung von SHA-1 wird in Etappen unterteilt und in der Grafik farblich kenntlich gemacht: Hinweis (grün), Warnung (gelb) und Eskalation (rot).

SHA-1 Auslauf

Im Rahmen der HTTPS-Analyse wurde erhoben, welche Signaturalgorithmen die Webseiten öffentlicher Institutionen verwenden. Dabei wurden folgenden Kennzahlen festgestellt (zum Zeitpunkt der Analyse 2014):

  • Bei 41 Servern ist das aktuell verwendete Zertifikat bereits vor 1.1.2016 nicht mehr gültig.
  • 21 der 91 Zertifikate sind auch im Jahr 2016 noch gültig. Web-Browser werden betroffene Server als sicher, jedoch problembehaftet behandlen.
  • 27 verbleibende Zertifikate sind auch nach 1.1.2017 noch gültig und werden ab dem Erscheinen von Google Chrome in Version 40 wie ungeschützte Verbindungen angezeigt.

Eine detaillierte Beschreibung der einzelnen Stufen und eine genaue Auflistung der untersuchten Zertifikate, sind im vollständigen Bericht einsehbar.

Downloads

Datei Beschreibung Dateigröße
pdf Projektbericht GV.AT Domänen Version 1.3 vom 26.09.2014
425 KB
pdf Projektbericht SHA-1-in-Browsern Version 0.1 vom 20.10.2014
591 KB