Zentrum für sichere Informationstechnologie – Austria

HTTPS Analyse von GV.AT Domänen

In diesem Projekt wurden die Eigenschaften von österreichischen gv.at Domänen analysiert. Der Fokus wurde dabei auf die Unterstützung von TLS (Anbieten der Dienste über HTTPS) gelegt. Im Rahmen dieses Projekts wurde das Rahmenwerk für die automatische Analyse geschaffen und die ersten Ergebnisse im Rahmen einer Kurzsstudie präsentiert.
Im Folgenden wird eine kurze Zusammenfassung der wichtigsten Fakten gegeben:

  • Es wurden 1285 Dienste analysiert, 763 davon unterstützen das HTTPS Protokoll nicht.
  • Bei den 522 Services die HTTPS anbieten ergibt sich folgendes Bild:
    • Davon bieten 59 Services dediziert HTTPS an. Bei den anderen 463 Diensten handelt es sich um providerspezifsche Standardseiten oder Dienste die nicht für das Anbieten über HTTPS gedacht sind, aber ein Test-Zertifikat verwenden.
    • Die Services wurden vor allem auf die verwendeten TLS-Ciphersuites analysiert, da diese maßgeblich die Sicherheit der aufgebauten TLS-Verbindungen beeinflussen:
    • cipher

Alle Details dazu finden Sie in der Kurzstudie:

Verwendung von SHA-1 in Zertifikaten

Mehrere Hersteller von Web-Browser beabsichtigen, den weit verbreiteten Hash-Algorithmus durch neuere Alternativen abzulösen. Dazu wurden Richtlinien beschlossen, die ein schrittweises Auslaufen der Unterstützung von SHA-1 in Web-Browser vorsehen.

Die nachfolgende Tabelle illustriert die Unterstützung von SHA-1 in chronologischer Hinsicht und zeigt die Behandlung in den jeweiligen Web-Browsern an. Die unterschiedliche Behandlung von SHA-1 wird in Etappen unterteilt und in der Grafik farblich kenntlich gemacht: Hinweis (grün), Warnung (gelb) und Eskalation (rot).

SHA-1

Im Rahmen der HTTPS-Analyse wurde erhoben, welche Signaturalgorithmen die Webseiten öffentlicher Institutionen verwenden. Dabei wurden folgenden Kennzahlen festgestellt:

  • Bei 41 Server ist das aktuell verwendete Zertifikat bereits vor 1.1.2016 nicht mehr gültig.
  • 21 der 91 Zertifikate sind auch im Jahr 2016 noch gültig. Web-Browser werden betroffene Server als sicher, jedoch problembehaftet behandlen.
  • 27 verbleibende Zertifikate sind auch nach 1.1.2017 noch gültig und werden ab dem Erscheinen von Google Chrome in Version 40 wie ungeschützte Verbindungen angezeigt.

Eine detaillierte Beschreibung der einzelnen Stufen und eine genaue Auflistung der untersuchten Zertifikate, sind im vollständigen Bericht einsehbar :

Veröffentlicht: 7.11.2014, Kategorie: eGovernment, IT-Sicherheit.