HTTPS: Kostenlose TLS-Verschlüsselung bei Cloudflare

Cloudflare aktiviert künftig bei allen Kunden kostenlos verschlüsselte HTTPS-Verbindungen. Damit verdoppelt sich die Zahl der Webseiten im Netz, die verschlüsselt erreichbar sind.

Artikel veröffentlicht am , Hanno Böck
"Universal SSL" heißt es ab sofort bei Cloudflare.
"Universal SSL" heißt es ab sofort bei Cloudflare. (Bild: Cloudflare)

Die Zahl der verschlüsselten Webseiten dürfte rasant zunehmen: Cloudflare wird in seinem Content Delivery Network künftig sämtlichen Kunden bereits in der Standardeinstellung HTTPS-Verbindungen ermöglichen. Das gilt auch für das kostenlose Einsteigerangebot. Laut der Ankündigung von Cloudflare für Universal SSL gibt es bislang etwa zwei Millionen HTTPS-Webseiten im Netz, nach dem heutigen Tag sollen es doppelt so viele sein.

Stellenmarkt
  1. Technischer Projektleiter (w/m/d)
    Vertec GmbH, Hamburg, München, Zürich (Schweiz), Wien (Österreich) (Home-Office)
  2. Engineer IT Solutions (m/w/d)
    Schaeffler Technologies AG & Co. KG, Kitzingen
Detailsuche

Im Laufe des Tages soll die neue Funktion bei allen Kunden-Accounts automatisch aktiviert werden. Zwei Herausforderungen hatte es laut Ankündigung bei der Umsetzung des Plans gegeben: Knappe IPv4-Adressen und Performance-Probleme. Cloudflare setzt daher auf Technologien, die mit manchen alten Browsern Probleme bereiten können: ECDSA-Zertifikate und Server Name Indication (SNI).

SNI und ECDSA nötig

Klassische SSL-Verbindungen sicherten die gesamte IP-Verbindung mit einem Zertifikat ab. Das bedeutet, dass es keine Möglichkeit gibt, einen Hostnamen zu übergeben, bevor das Zertifikat übertragen wird. Somit wurde für jedes Zertifikat eine eigene IP-Adresse benötigt. Diese Zeiten sind zwar längst vorbei, denn bereits 2003 wurde in RFC 3546 eine TLS-Erweiterung namens Server Name Indication (SNI) spezifiziert, die mehrere Hostnamen auf einer IP ermöglicht. Doch nach wie vor gibt es ältere Browser, die SNI nicht unterstützen. Problematisch sind dabei vor allem der Internet Explorer unter Windows XP und Android bis zur Version 2.3.

Cloudflare hat Statistiken zur Verbreitung von SNI-Support angelegt und in einer Karte dargestellt. Insgesamt surfen etwa 80 Prozent der Nutzer mit Browsern, die SNI unterstützen. Doch die Verteilung ist sehr unregelmäßig. Die meisten veralteten Browser gibt es im Iran und in Indonesien (52 Prozent), danach folgt China (58 Prozent). In Deutschland ist die Verbreitung moderner Browser mit 91 Prozent vergleichsweise hoch.

Golem Akademie
  1. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    7.–8. Februar 2022, Virtuell
  2. Jira für Anwender: virtueller Ein-Tages-Workshop
    4. Februar 2022, virtuell
Weitere IT-Trainings

Da alle Seiten weiterhin per HTTP erreichbar bleiben, bedeutet diese Einschränkung keine Nachteile für bisherige Kunden. Es gibt auch die Möglichkeit, die entsprechenden Webseiten über IPv6 mit eigener IP zu erreichen. Dann ist kein SNI nötig, allerdings ist die Verbreitung von IPv6 so gering, dass dies kaum einen Unterschied machen dürfte.

ECDSA ist umstritten

Als Verschlüsselungsalgorithmus nutzt Cloudflare für alle Zertifikate den auf elliptischen Kurven basierenden Standard ECDSA. Der Verbindungsaufbau mittels ECDSA ist deutlich schneller als mit dem klassischen RSA-Verfahren. Allerdings ist ECDSA nicht ganz unumstritten: Das Verfahren reagiert extrem sensibel auf schlechte Zufallszahlen. Außerdem kommen hierbei die vom NIST standardisierten Kurven zum Einsatz, die von der NSA stammen und einige Parameter unklarer Herkunft enthalten. Nachvollziehbar ist die Entscheidung von Cloudflare dennoch, denn im Moment ist ECDSA die schnellste Möglichkeit eines Verbindungsaufbaus über TLS. Ebenso wie SNI wird auch ECDSA von vielen älteren Browsern nicht unterstützt.

Für zahlende Kunden bietet Cloudflare nach wie vor die Möglichkeit, eine eigene IPv4-Adresse zu nutzen und neben dem ECDSA-Zertifikat ein RSA-Zertifikat für verschlüsselte Verbindungen einzusetzen.

SPDY für mehr Geschwindigkeit

Zusammen mit HTTPS wird Cloudflare Verbindungen künftig über SPDY ermöglichen, wenn der Browser dies unterstützt. SPDY ist ein von Google entwickeltes Nachfolgeprotokoll für HTTP. Es überträgt Daten gebündelt und ist damit deutlich effizienter als normale HTTPS-Verbindungen. In manchen Fällen können mittels SPDY verschlüsselte Verbindungen sogar schneller abgewickelt werden als klassisches, unverschlüsseltes HTTP. SPDY ist die Grundlage des Protokolls HTTP/2, das zurzeit entwickelt wird.

Bereits am Wochenende hatte Cloudflare seinen Schritt versteckt angekündigt. In einer Meldung zum vierten Geburtstag des Unternehmens lauteten die ersten Buchstaben der Absätze "SSL TLS FREE".

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Andy Y 01. Okt 2014

Nur Leider haben weder Heise noch du die Anwendung verstanden. Flexible SSL vom Browser...

qupfer 01. Okt 2014

Mh, kenne mich mit der Thematik nur oberflächlich aus. Aber "gelernt" habe ich eigentlich...

Smile 29. Sep 2014

Na? Merkte watt? Was bringt dann SSL wenn sowieso alle mitlesen?

doctorseus 29. Sep 2014

Ich habe die Keyless SSL Ankündigung vor einiger Zeit bei CloudFlare gelesen und mich...



Aktuell auf der Startseite von Golem.de
Open Source
"Antworten Sie innerhalb von 24 Stunden"

Die E-Mail eines großen Konzerns an den Entwickler von Curl zeigt wohl eher aus Versehen, wie problematisch das Verhältnis vieler Firmen zu Open-Source-Software ist.

Open Source: Antworten Sie innerhalb von 24 Stunden
Artikel
  1. Elektro-Pick-up: Neuer Tesla-Cybertruck-Prototyp gefilmt
    Elektro-Pick-up
    Neuer Tesla-Cybertruck-Prototyp gefilmt

    In einem Video wird ein neuer Cybertruck-Prototyp von Tesla im Detail gezeigt. Es stammt vermutlich aus der Gigafactory in Texas.

  2. Onlinekurse zu 3D-Visualisierung und Spieleprogrammierung
     
    Onlinekurse zu 3D-Visualisierung und Spieleprogrammierung

    3D-Visualiserung hat den Bereich des Game Developments längst hinter sich gelassen. Die Golem Akademie bietet sechs virtuelle Workshops zum Themenfeld.
    Sponsored Post von Golem Akademie

  3. Bundesservice Telekommunikation: Schlecht getarnte Tarnorganisation praktisch enttarnt
    Bundesservice Telekommunikation
    Schlecht getarnte Tarnorganisation praktisch enttarnt

    Inzwischen ist offensichtlich, dass der Bundesservice Telekommunikation zum Bundesamt für Verfassungsschutz gehört.
    Von Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Palit RTX 3080 12GB 1.548,96€ • Acer Curved Gaming-Monitor 27" 259€ • Corsair 16GB DDR4-4000 111,21€ • MindStar (u.a. 8GB DDR5-4800 89€) • 10% auf Gaming bei Ebay (u. a. Gigabyte 34" Curved UWQHD 144Hz 429,30€) • Razer Gaming-Stuhl 179,99€ • 4 Blu-rays für 22€ [Werbung]
    •  /