Was ist HTTPS-Prüfung?

Die Inspektion des Traffics kann Unternehmen bei der Erkennung von Malware helfen, aber die Sicherheitsrisiken der HTTPS-Prüfung müssen sorgfältig abgewogen werden.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Beschreiben, wie die HTTPS-Prüfung funktioniert
  • Erklären, wie Angreifer ihre Aktivitäten mit HTTPS verschleiern
  • Alternativen zur Bekämpfung des Angriffsrisikos zu verstehen

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist HTTPS-Prüfung?

Die HTTPS-Inspektion prüft den verschlüsselten Web Traffic mit der gleichen Technik wie ein On-Path-Angriff auf die Netzwerkverbindung. Es handelt sich dabei um ein Feature einiger Netzwerkgeräte, Firewalls und Produkten zur Bedrohungsverwaltung für Unternehmen.

Vielleicht möchte ein Unternehmen den HTTPS-Traffic auf Malware untersuchen, Versuche der Datenexfiltration erkennen und den Zugriff auf bestimmte Websites blockieren. Malware ist ein Sicherheitsrisiko, da sie den Geschäftsbetrieb lahmlegen, Daten stehlen oder Dateien unzugänglich machen kann.

Die HTTPS-Prüfung hat viele Namen, darunter SSL-Inspektion, TLS Inspection, TLS-Break and Inspect und HTTPS Interception.

Wie funktioniert die HTTPS-Prüfung?

Wenn ein Unternehmen sich mit HTTPS-Prüfung vor Malware schützt, setzt es ein Produkt ein, das zwei separate verschlüsselte Verbindungen aufbaut und sich sowohl als Client als auch als Server ausgibt. Das Produkt sucht nach böswilligen Bedrohungen, die es zu blockieren gilt, ohne dass der Client erfährt, dass es nicht nur eine durchgängig validierte Verbindung gibt.

Stellen Sie sich zum Beispiel vor, dass ein Schüler einem Klassenkameraden einen Zettel zukommen lässt, ohne zu wissen, dass die Person, die zwischen ihnen sitzt, den Inhalt der Nachricht lesen kann. In diesem Szenario glaubt der Absender, dass die Nachricht während des Transports versiegelt ist, ohne zu wissen, dass sie ohne offensichtliche Spuren geöffnet und geschlossen werden kann. Die HTTPS-Prüfung unterscheidet sich jedoch in einem wichtigen Punkt von diesem Beispiel – der Absender weiß nicht einmal von der Anwesenheit eines Mittelsmannes.

Wenn eine Website TLS verwendet, verbindet sich das Client-Gerät (der Computer oder das Smartphone eines Nutzers) normalerweise direkt mit dem Host-Server der Website und baut eine verschlüsselte Verbindung auf. Sobald die verschlüsselte Verbindung hergestellt ist, ist der Traffic zwischen dem Client und dem Server vollständig verschlüsselt, und niemand dazwischen kann den Traffic einsehen.

Während der HTTPS-Prüfung baut das Produkt zwei SSL-Verbindungen auf – eine zum Server und eine zum Client. Aus der Sicht des Clients stellt er eine direkte Verbindung zum Server her, ohne dass ein Vermittler dazwischengeschaltet ist. Der Traffic wird stattdessen an das Inspektionsprodukt umgeleitet, das sich als die Website ausgibt. Es kann die Inhalte anzeigen, ändern und blockieren.

Wie kann sicherer Traffic Malware übertragen?

In den früheren Tagen des Internetswurde der Traffic über HTTP im Klartext gesendet. Nichts war verschlüsselt, und wenn jemand den Traffic abfing, lagen sämtliche Daten offen.

Mit HTTPS – der sicheren Version von HTTP – wird der Traffic verschlüsselt. Der Client und der Server stellen über eine Hin- und Her-Kommunikation eine sichere Verbindung her.

HTTPS schützt den Internet-Traffic vor der Überwachung durch Unbefugte. Es kann aber auch Übeltätern helfen, ihre Spuren zu verwischen. HTTPS verschlüsselt und verbirgt jede Art von Daten, egal ob es sich um die Bankdaten einer Privatperson oder um Malware eines Angreifers handelt.

Das Vorhängeschloss im Browser für eine HTTPS-Verbindung bedeutet, dass die Daten zwischen einem Nutzer und einem Server verschlüsselt sind. Es bedeutet nicht, dass alles auf der Website garantiert vor Angriffen oder Schnüfflern geschützt ist. Eine Website, die von einem vertrauenswürdigen Unternehmen, z. B. einem Finanzinstitut, betrieben wird, könnte ihre Nutzer unwissentlich durch eine Sicherheitslücke in Gefahr bringen. Ebenso könnte ein Angreifer eine böswillige Website einrichten, die durch ein SSL-Zertifikat und die Verschlüsselung des Traffics scheinbar sicher ist.

Welche Risiken birgt die HTTPS-Prüfung?

Wenn die HTTPS-Prüfung nicht korrekt durchgeführt wird, kann sie Sicherheitslücken schaffen. Bei normalem, nicht überprüftem Traffic kann ein Browser die Verbindung Ende-zu-Ende validieren – die Überprüfung der Gültigkeit des Zertifikats stellt sicher, dass der Client tatsächlich mit dem Server kommuniziert, dem die Domain gehört.

Wenn dieser Prozess unterbrochen wird, kann die Prüfung bei fehlender Sorgfalt verschiedene Probleme verursachen:

  • Die Verschlüsselung nach der Inspektion kann weniger sicher sein, insbesondere wenn das Inspektionsprodukt nicht die aktuellen kryptografischen Standards verwendet
  • Einige Prüfprodukte validieren Zertifikatsketten nicht korrekt, was die Wahrscheinlichkeit eines separaten On-Path-Angriffs durch einen Kriminellen erhöht
  • Während Browser häufig und automatisch aktualisiert werden, um neue Sicherheitsprobleme zu beheben, könnte das Prüfprodukt hinter den besten Sicherheitspraktiken zurückbleiben, wie z. B. der Unterstützung der neuesten Version des Protokolls für die Transportebene (TLS)

Was sind die Vorteile der HTTPS-Prüfung?

Die HTTPS-Prüfung bietet:

  • Größere Transparenz des Netzwerk-Traffics und potenzieller Risiken
  • Eine höhere Chance, heimtückische Angriffe auf das Netzwerk eines Unternehmens abzuwehren
  • Eine bessere Möglichkeit, die Sicherheitsrichtlinien des Unternehmens durchzusetzen

Was sind die Alternativen zur HTTPS-Prüfung?

Es gibt keine allgemein akzeptierte Methode zur Bekämpfung von im HTTPS-Traffic versteckter Malware. Einige Maßnahmen, die helfen können, sind:

  • Verwendung von Firewalls, die Sicherheitszertifikate prüfen, ohne die Verschlüsselung zu knacken, um verdächtiges Verhalten zu erkennen
  • Risiken, die von Mitarbeitern ausgehen, an der Quelle bekämpfen, z. B. indem man sie daran hindert, nicht zugelassene Software herunterzuladen und die Überwachung der Endpunkte verbessert
  • Feinabstimmung der Deep Packet Inspection-Regeln innerhalb einer Firewall
  • Einsatz von DNS-Filtern und einem sicheren Web-Gateway, um Verbindungen mit unsicheren Websites oder Servern zu blockieren
  • Browserisolierung, um die Browseraktivitäten auf eine sichere Umgebung zu beschränken und die Ausführung von unsicherem Code innerhalb des Netzwerks zu verhindern

Erfahren Sie, wie Cloudflare Gateway Malware und andere Risiken blockiert und den Traffic nahezu in Echtzeit überwacht.