Dieser Beitrag behandelt HTTPS Strict Transport Security (HSTS), eine Methode zur Abwehr von Man-in-the-middle-Angriffen im Internet.
Man-in-the-middle-Angriffe in Internet-Verbindungen sind gefährlich und können teuer werden. Eine Erklärung dazu finden Sie hier.
SSL Stripping
Zu verhindern sind sie grundsätzlich mit einer SSL/TLS-Verschlüsselung. Allerdings haben findige Angreifer Mittel und Wege gefunden, auch die Verschlüsselung in ungeschützten Umgebungen, bspw. in öffentlichen WLANs auszuschalten. Beim so genannte SSL-Stripping werden Access Points eingesetzt, die den Weg der Verbindung hin zu einem Angreifer verändern. Er sitzt nun in der Mitte der Verbindung und täuscht dem Browser vor, der richtige Server und dem Server, der richtige Browser zu sein. Nun lenkt er die vom Server ausgehenden https-Seiten, also verschlüsselte Seiten, um auf http-Seiten, die im Zweifelsfall genauso aussehen, wie die echten. Zwar könnte der Nutzer das an der geänderten Adresszeile erkennen. Dort steht eben nicht mehr https://…, sondern http://… Allerdings sehen sich das wohl die wenigsten Nutzer bei Aufruf jeder Seite wieder neu an. Warnhinweise des Browsers gibt es auch nicht. Denn die gibt der nur aus, wenn eine https-Seite angefordert wird und eine http-Seite ausgegeben wird. Da aber der „Man-in-the-middle“ die Anfrage des Browsers auf seine Seite umgelenkt hat, wird gar keine https-Seite mehr angefordert.
Was kann HSTS (HTTPS Strict Transport Security) daran ändern?
Beim ersten Aufruf einer Website, zum Beispiel einer Online-Banking-Seite teilt der Server dem Browser mit, dass er nur https-Verbindungen mit ihm akzeptieren darf. Außerdem teilt er ihm mit, wie lange er das so halten soll (sinnvoll ist meist ein langer Zeitraum, bspw. ein Jahr). Wenn sich nun bei einer erneuten Einwahl ein „Man-in-the-middle“ zwischenschaltet und versucht, http-Seiten auszuliefern, unterbricht der „echte“ Server sofort die Verbindung. Damit wird verhindert, dass – was leider oft passiert – Menschen trotz Warnungen, dass die Verbindung nun nicht mehr sicher ist, weiter Daten eingeben und versuchen, Transaktionen auszuführen. HTTPS Strict Transport Security bedeutet eben, dass streng auf Sicherheit geachtet wird, indem der Browser eine unverschlüsselte Verbindung zu einer ihm bekannten Website immer zurückweist.
Ein Nachteil von HTTPS Strict Transport Security ist natürlich, dass es, wenn der Nutzer sich erstmals auf eine Seite einwählt und ein „Man-in-the-middle“ schon zwischengeschaltet ist, keinerlei Sicherheit bietet. Allerdings wird sich wohl kaum jemand erstmals mit einer so wichtigen Seite wie dem Online-Banking oder der Einrichtung einer neuen E-Mail-Adresse in einem öffentlichen, ungesicherten WLAN anmelden. Andererseits…
