Abo
  • Services:

HTTPS: Kostenlose TLS-Verschlüsselung bei Cloudflare

Cloudflare aktiviert künftig bei allen Kunden kostenlos verschlüsselte HTTPS-Verbindungen. Damit verdoppelt sich die Zahl der Webseiten im Netz, die verschlüsselt erreichbar sind.

Artikel veröffentlicht am , Hanno Böck
"Universal SSL" heißt es ab sofort bei Cloudflare.
"Universal SSL" heißt es ab sofort bei Cloudflare. (Bild: Cloudflare)

Die Zahl der verschlüsselten Webseiten dürfte rasant zunehmen: Cloudflare wird in seinem Content Delivery Network künftig sämtlichen Kunden bereits in der Standardeinstellung HTTPS-Verbindungen ermöglichen. Das gilt auch für das kostenlose Einsteigerangebot. Laut der Ankündigung von Cloudflare für Universal SSL gibt es bislang etwa zwei Millionen HTTPS-Webseiten im Netz, nach dem heutigen Tag sollen es doppelt so viele sein.

Stellenmarkt
  1. CSL Behring GmbH, Marburg
  2. Bosch Gruppe, Abstatt

Im Laufe des Tages soll die neue Funktion bei allen Kunden-Accounts automatisch aktiviert werden. Zwei Herausforderungen hatte es laut Ankündigung bei der Umsetzung des Plans gegeben: Knappe IPv4-Adressen und Performance-Probleme. Cloudflare setzt daher auf Technologien, die mit manchen alten Browsern Probleme bereiten können: ECDSA-Zertifikate und Server Name Indication (SNI).

SNI und ECDSA nötig

Klassische SSL-Verbindungen sicherten die gesamte IP-Verbindung mit einem Zertifikat ab. Das bedeutet, dass es keine Möglichkeit gibt, einen Hostnamen zu übergeben, bevor das Zertifikat übertragen wird. Somit wurde für jedes Zertifikat eine eigene IP-Adresse benötigt. Diese Zeiten sind zwar längst vorbei, denn bereits 2003 wurde in RFC 3546 eine TLS-Erweiterung namens Server Name Indication (SNI) spezifiziert, die mehrere Hostnamen auf einer IP ermöglicht. Doch nach wie vor gibt es ältere Browser, die SNI nicht unterstützen. Problematisch sind dabei vor allem der Internet Explorer unter Windows XP und Android bis zur Version 2.3.

Cloudflare hat Statistiken zur Verbreitung von SNI-Support angelegt und in einer Karte dargestellt. Insgesamt surfen etwa 80 Prozent der Nutzer mit Browsern, die SNI unterstützen. Doch die Verteilung ist sehr unregelmäßig. Die meisten veralteten Browser gibt es im Iran und in Indonesien (52 Prozent), danach folgt China (58 Prozent). In Deutschland ist die Verbreitung moderner Browser mit 91 Prozent vergleichsweise hoch.

Da alle Seiten weiterhin per HTTP erreichbar bleiben, bedeutet diese Einschränkung keine Nachteile für bisherige Kunden. Es gibt auch die Möglichkeit, die entsprechenden Webseiten über IPv6 mit eigener IP zu erreichen. Dann ist kein SNI nötig, allerdings ist die Verbreitung von IPv6 so gering, dass dies kaum einen Unterschied machen dürfte.

ECDSA ist umstritten

Als Verschlüsselungsalgorithmus nutzt Cloudflare für alle Zertifikate den auf elliptischen Kurven basierenden Standard ECDSA. Der Verbindungsaufbau mittels ECDSA ist deutlich schneller als mit dem klassischen RSA-Verfahren. Allerdings ist ECDSA nicht ganz unumstritten: Das Verfahren reagiert extrem sensibel auf schlechte Zufallszahlen. Außerdem kommen hierbei die vom NIST standardisierten Kurven zum Einsatz, die von der NSA stammen und einige Parameter unklarer Herkunft enthalten. Nachvollziehbar ist die Entscheidung von Cloudflare dennoch, denn im Moment ist ECDSA die schnellste Möglichkeit eines Verbindungsaufbaus über TLS. Ebenso wie SNI wird auch ECDSA von vielen älteren Browsern nicht unterstützt.

Für zahlende Kunden bietet Cloudflare nach wie vor die Möglichkeit, eine eigene IPv4-Adresse zu nutzen und neben dem ECDSA-Zertifikat ein RSA-Zertifikat für verschlüsselte Verbindungen einzusetzen.

SPDY für mehr Geschwindigkeit

Zusammen mit HTTPS wird Cloudflare Verbindungen künftig über SPDY ermöglichen, wenn der Browser dies unterstützt. SPDY ist ein von Google entwickeltes Nachfolgeprotokoll für HTTP. Es überträgt Daten gebündelt und ist damit deutlich effizienter als normale HTTPS-Verbindungen. In manchen Fällen können mittels SPDY verschlüsselte Verbindungen sogar schneller abgewickelt werden als klassisches, unverschlüsseltes HTTP. SPDY ist die Grundlage des Protokolls HTTP/2, das zurzeit entwickelt wird.

Bereits am Wochenende hatte Cloudflare seinen Schritt versteckt angekündigt. In einer Meldung zum vierten Geburtstag des Unternehmens lauteten die ersten Buchstaben der Absätze "SSL TLS FREE".



Anzeige
Blu-ray-Angebote
  1. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

Andy Y 01. Okt 2014

Nur Leider haben weder Heise noch du die Anwendung verstanden. Flexible SSL vom Browser...

qupfer 01. Okt 2014

Mh, kenne mich mit der Thematik nur oberflächlich aus. Aber "gelernt" habe ich eigentlich...

Smile 29. Sep 2014

Na? Merkte watt? Was bringt dann SSL wenn sowieso alle mitlesen?

doctorseus 29. Sep 2014

Ich habe die Keyless SSL Ankündigung vor einiger Zeit bei CloudFlare gelesen und mich...


Folgen Sie uns
       


Smartphone-Kameras im Vergleich

Wir haben die Fotoqualität von sechs aktuellen Top-Smartphones verglichen.

Smartphone-Kameras im Vergleich Video aufrufen
Gaming-Tastaturen im Test: Neue Switches für Gamer und Tipper
Gaming-Tastaturen im Test
Neue Switches für Gamer und Tipper

Corsair und Roccat haben neue Gaming-Tastaturen auf den Markt gebracht, die sich vor allem durch ihre Switches auszeichnen. Im Test zeigt sich, dass Roccats Titan Switch besser zum normalen Tippen geeignet ist, aber nicht an die Geschwindigkeit des Corsair-exklusiven Cherry-Switches herankommt.
Ein Test von Tobias Költzsch

  1. Azio RCK Retrotastatur wechselt zwischen Mac und Windows-Layout
  2. OLKB Planck im Test Winzig, gerade, programmierbar - gut!
  3. Alte gegen neue Model M Wenn die Knickfedern wohlig klackern

Need for Speed 3 Hot Pursuit (1998): El Nino, Polizeifunk und Lichtgewitter in Rot-Blau
Need for Speed 3 Hot Pursuit (1998)
El Nino, Polizeifunk und Lichtgewitter in Rot-Blau

Golem retro_ Electronic Arts ist berühmt und berüchtigt für jährliche Updates und Neuveröffentlichungen. Was der Publisher aber 1998 für digitale Raser auffuhr, ist in puncto Dramatik bei Verfolgungsjagden bis heute unerreicht.
Von Michael Wieczorek


    Drahtlos-Headsets im Test: Ohne Kabel spielt sich's angenehmer
    Drahtlos-Headsets im Test
    Ohne Kabel spielt sich's angenehmer

    Sie nerven und verdrehen sich in den Rollen unseres Stuhls: Kabel sind gerade bei Headsets eine Plage. Doch gibt es so viele Produkte, die darauf verzichten können. Wir testen das Alienware AW988, das Audeze Mobius, das Hyperx Cloud Flight und das Razer Nari Ultimate - und haben einen Favoriten.
    Ein Test von Oliver Nickel

    1. Sieben Bluetooth-Ohrstöpsel im Test Jabra zeigt Apple, was den Airpods fehlt
    2. Ticpods Free Airpods-Konkurrenten mit Touchbedienung kosten 80 Euro
    3. Bluetooth-Ohrstöpsel im Vergleichstest Apples Airpods lassen hören und staunen

      •  /