Abo
  • IT-Karriere:

HTTPS: Kostenlose TLS-Verschlüsselung bei Cloudflare

Cloudflare aktiviert künftig bei allen Kunden kostenlos verschlüsselte HTTPS-Verbindungen. Damit verdoppelt sich die Zahl der Webseiten im Netz, die verschlüsselt erreichbar sind.

Artikel veröffentlicht am , Hanno Böck
"Universal SSL" heißt es ab sofort bei Cloudflare.
"Universal SSL" heißt es ab sofort bei Cloudflare. (Bild: Cloudflare)

Die Zahl der verschlüsselten Webseiten dürfte rasant zunehmen: Cloudflare wird in seinem Content Delivery Network künftig sämtlichen Kunden bereits in der Standardeinstellung HTTPS-Verbindungen ermöglichen. Das gilt auch für das kostenlose Einsteigerangebot. Laut der Ankündigung von Cloudflare für Universal SSL gibt es bislang etwa zwei Millionen HTTPS-Webseiten im Netz, nach dem heutigen Tag sollen es doppelt so viele sein.

Stellenmarkt
  1. BWI GmbH, Bonn
  2. Alfred Kärcher SE & Co. KG, Winnenden bei Stuttgart

Im Laufe des Tages soll die neue Funktion bei allen Kunden-Accounts automatisch aktiviert werden. Zwei Herausforderungen hatte es laut Ankündigung bei der Umsetzung des Plans gegeben: Knappe IPv4-Adressen und Performance-Probleme. Cloudflare setzt daher auf Technologien, die mit manchen alten Browsern Probleme bereiten können: ECDSA-Zertifikate und Server Name Indication (SNI).

SNI und ECDSA nötig

Klassische SSL-Verbindungen sicherten die gesamte IP-Verbindung mit einem Zertifikat ab. Das bedeutet, dass es keine Möglichkeit gibt, einen Hostnamen zu übergeben, bevor das Zertifikat übertragen wird. Somit wurde für jedes Zertifikat eine eigene IP-Adresse benötigt. Diese Zeiten sind zwar längst vorbei, denn bereits 2003 wurde in RFC 3546 eine TLS-Erweiterung namens Server Name Indication (SNI) spezifiziert, die mehrere Hostnamen auf einer IP ermöglicht. Doch nach wie vor gibt es ältere Browser, die SNI nicht unterstützen. Problematisch sind dabei vor allem der Internet Explorer unter Windows XP und Android bis zur Version 2.3.

Cloudflare hat Statistiken zur Verbreitung von SNI-Support angelegt und in einer Karte dargestellt. Insgesamt surfen etwa 80 Prozent der Nutzer mit Browsern, die SNI unterstützen. Doch die Verteilung ist sehr unregelmäßig. Die meisten veralteten Browser gibt es im Iran und in Indonesien (52 Prozent), danach folgt China (58 Prozent). In Deutschland ist die Verbreitung moderner Browser mit 91 Prozent vergleichsweise hoch.

Da alle Seiten weiterhin per HTTP erreichbar bleiben, bedeutet diese Einschränkung keine Nachteile für bisherige Kunden. Es gibt auch die Möglichkeit, die entsprechenden Webseiten über IPv6 mit eigener IP zu erreichen. Dann ist kein SNI nötig, allerdings ist die Verbreitung von IPv6 so gering, dass dies kaum einen Unterschied machen dürfte.

ECDSA ist umstritten

Als Verschlüsselungsalgorithmus nutzt Cloudflare für alle Zertifikate den auf elliptischen Kurven basierenden Standard ECDSA. Der Verbindungsaufbau mittels ECDSA ist deutlich schneller als mit dem klassischen RSA-Verfahren. Allerdings ist ECDSA nicht ganz unumstritten: Das Verfahren reagiert extrem sensibel auf schlechte Zufallszahlen. Außerdem kommen hierbei die vom NIST standardisierten Kurven zum Einsatz, die von der NSA stammen und einige Parameter unklarer Herkunft enthalten. Nachvollziehbar ist die Entscheidung von Cloudflare dennoch, denn im Moment ist ECDSA die schnellste Möglichkeit eines Verbindungsaufbaus über TLS. Ebenso wie SNI wird auch ECDSA von vielen älteren Browsern nicht unterstützt.

Für zahlende Kunden bietet Cloudflare nach wie vor die Möglichkeit, eine eigene IPv4-Adresse zu nutzen und neben dem ECDSA-Zertifikat ein RSA-Zertifikat für verschlüsselte Verbindungen einzusetzen.

SPDY für mehr Geschwindigkeit

Zusammen mit HTTPS wird Cloudflare Verbindungen künftig über SPDY ermöglichen, wenn der Browser dies unterstützt. SPDY ist ein von Google entwickeltes Nachfolgeprotokoll für HTTP. Es überträgt Daten gebündelt und ist damit deutlich effizienter als normale HTTPS-Verbindungen. In manchen Fällen können mittels SPDY verschlüsselte Verbindungen sogar schneller abgewickelt werden als klassisches, unverschlüsseltes HTTP. SPDY ist die Grundlage des Protokolls HTTP/2, das zurzeit entwickelt wird.

Bereits am Wochenende hatte Cloudflare seinen Schritt versteckt angekündigt. In einer Meldung zum vierten Geburtstag des Unternehmens lauteten die ersten Buchstaben der Absätze "SSL TLS FREE".



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 149,90€ + Versand

Andy Y 01. Okt 2014

Nur Leider haben weder Heise noch du die Anwendung verstanden. Flexible SSL vom Browser...

qupfer 01. Okt 2014

Mh, kenne mich mit der Thematik nur oberflächlich aus. Aber "gelernt" habe ich eigentlich...

Smile 29. Sep 2014

Na? Merkte watt? Was bringt dann SSL wenn sowieso alle mitlesen?

doctorseus 29. Sep 2014

Ich habe die Keyless SSL Ankündigung vor einiger Zeit bei CloudFlare gelesen und mich...


Folgen Sie uns
       


Honor 20 Pro - Hands on

Das Honor 20 Pro ist das neue Oberklasse-Smartphone der Huawei-Tochter. Als Besonderheit gibt es eine Vierfachkamera, um für möglichst viele Objektivsituationen gewappnet zu sein. Hinweis vom Hersteller: "Bei den gezeigten Geräten der Honor-20-Serie handelt es sich um Demoversionen, die sich in Aussehen und Funktion von der finalen Version unterscheiden können."

Honor 20 Pro - Hands on Video aufrufen
5G-Report: Nicht jedes Land braucht zur Frequenzvergabe Auktionen
5G-Report
Nicht jedes Land braucht zur Frequenzvergabe Auktionen

Die umstrittene Versteigerung von 5G-Frequenzen durch die Bundesnetzagentur ist zu Ende. Die Debatte darüber, wie Funkspektrum verteilt werden soll, geht weiter. Wir haben uns die Praxis in anderen Ländern angeschaut.
Ein Bericht von Stefan Krempl

  1. AT&T Testnutzer in 5G-Netzwerk misst 1,7 GBit/s
  2. Netzausbau Städtebund-Chef will 5G-Antennen auf Kindergärten
  3. SK Telecom Deutsche Telekom will selbst 5G-Ausrüstung entwickeln

Final Fantasy 7 Remake angespielt: Cloud Strife und die (fast) unendliche Geschichte
Final Fantasy 7 Remake angespielt
Cloud Strife und die (fast) unendliche Geschichte

E3 2019 Das Remake von Final Fantasy 7 wird ein Riesenprojekt, allein die erste Episode erscheint auf zwei Blu-ray-Discs. Kurios: In wie viele Folgen das bereits enorm umfangreiche Original von 1997 aufgeteilt wird, kann bislang nicht mal der Producer sagen.

  1. Final Fantasy 14 Online Report Zwischen Cosplay, Kirmes und Kampfsystem
  2. Square Enix Final Fantasy 14 erhält Solo-Inhalte und besonderen Magier
  3. Rollenspiel Square Enix streicht Erweiterungen für Final Fantasy 15

Ocean Discovery X Prize: Autonome Fraunhofer-Roboter erforschen die Tiefsee
Ocean Discovery X Prize
Autonome Fraunhofer-Roboter erforschen die Tiefsee

Öffentliche Vergaberichtlinien und agile Arbeitsweise: Die Teilnahme am Ocean Discovery X Prize war nicht einfach für die Forscher des Fraunhofer Instituts IOSB. Deren autonome Tauchroboter zur Tiefseekartierung schafften es unter die besten fünf weltweit.
Ein Bericht von Werner Pluta

  1. JAB Code Bunter Barcode gegen Fälschungen

    •  /