Webseiten mit HTTPS bereitstellen und mit HSTS und HPKP sichern

Beginn: 
02.12.2017 - 15:00
Raumnummer: 
104
Referent: 
Jörg Kastning
Zielgruppe: 
Profi

Heutzutage werden immer mehr Kommunikationsverbindungen im Internet mit TLS/SSL-Verschlüsselung geschützt. Die Verschlüsselung hilft, die Vertraulichkeit der zwischen Sender und Empfänger übertragenen Daten zu schützen und sollte daher standardmäßig aktiviert sein. Doch bereitet der Einsatz von TLS/SSL-Verschlüsselung immer noch vielen Betreibern von Webseiten, Web-, Mail- und Chat-Servern Kopfschmerzen.

Zu undurchsichtig scheint der Dschungel aus Zertifizierungsstellen, Zertifikaten, Zertifikatsanfragen, öffentlichen und privaten Schlüsseln. Verschiedenste Validierungsverfahren und Dateiformate für Zertifikate tragen nicht gerade dazu bei, den Durchblick zu behalten. Bereits die Erstellung einer Zertifikatsanfrage gerät dabei häufig genug zu einem Problem. Die Folge: Immer noch wird viel zu häufig auf den Einsatz von TLS/SSL-Verschlüsselung verzichtet.

Dieser Vortrag führt in das Thema TLS-/SSL-Verschlüsselung ein, indem er zu Beginn erläutert worum es sich bei einem TLS-/SSL-Zertifikat eigentlich handelt und wie man Hilfe von OpenSSL sowohl einen privaten Schlüssel als auch eine Zertifikatsanfrage (CSR) generiert, um diese an eine Zertifizierungsstelle (CA) zu übertragen.

Anschließend wird auf die Schwächen der heute üblichen Zertifikatsvergabe in der Welt der CAs eingegangen. Abschließend zeigt der Vortrag Wege auf, eine Webseite mit HTTP Strict Transport Security (RFC 6797)und der Public Key Pinning Extension for HTTP (RFC 7469) gegen diese Schwächen zu härten.

Jörg Kastning

Seit März 2015 arbeite ich in der Abteilung „Plattformen und Serverdienste“ im BITS der Universität Bielefeld. Neben der Servervirtualisierung gehören u.a. die Administration von Linux, der Datacenter-Firewalls und des Loadbalancers zu meinen täglichen Aufgaben.

Neben meiner beruflichen Tätigkeit bin ich Autor der Blogs My-IT-Brain. Einen Fokus lege ich dabei auf die Bereiche Open Source, Linux und Sicherheit von IT-Diensten. Darunter finden sich auch Beschreibungen und Dokumentationen zu meinen Hobby-Projekten.

Des Weiteren engagiere ich mich für Freifunk Lippe und als CAcert Assurer.