Abo
  • Services:
Anzeige
"Universal SSL" heißt es ab sofort bei Cloudflare.
"Universal SSL" heißt es ab sofort bei Cloudflare. (Bild: Cloudflare)

HTTPS: Kostenlose TLS-Verschlüsselung bei Cloudflare

Cloudflare aktiviert künftig bei allen Kunden kostenlos verschlüsselte HTTPS-Verbindungen. Damit verdoppelt sich die Zahl der Webseiten im Netz, die verschlüsselt erreichbar sind.

Anzeige

Die Zahl der verschlüsselten Webseiten dürfte rasant zunehmen: Cloudflare wird in seinem Content Delivery Network künftig sämtlichen Kunden bereits in der Standardeinstellung HTTPS-Verbindungen ermöglichen. Das gilt auch für das kostenlose Einsteigerangebot. Laut der Ankündigung von Cloudflare für Universal SSL gibt es bislang etwa zwei Millionen HTTPS-Webseiten im Netz, nach dem heutigen Tag sollen es doppelt so viele sein.

Im Laufe des Tages soll die neue Funktion bei allen Kunden-Accounts automatisch aktiviert werden. Zwei Herausforderungen hatte es laut Ankündigung bei der Umsetzung des Plans gegeben: Knappe IPv4-Adressen und Performance-Probleme. Cloudflare setzt daher auf Technologien, die mit manchen alten Browsern Probleme bereiten können: ECDSA-Zertifikate und Server Name Indication (SNI).

SNI und ECDSA nötig

Klassische SSL-Verbindungen sicherten die gesamte IP-Verbindung mit einem Zertifikat ab. Das bedeutet, dass es keine Möglichkeit gibt, einen Hostnamen zu übergeben, bevor das Zertifikat übertragen wird. Somit wurde für jedes Zertifikat eine eigene IP-Adresse benötigt. Diese Zeiten sind zwar längst vorbei, denn bereits 2003 wurde in RFC 3546 eine TLS-Erweiterung namens Server Name Indication (SNI) spezifiziert, die mehrere Hostnamen auf einer IP ermöglicht. Doch nach wie vor gibt es ältere Browser, die SNI nicht unterstützen. Problematisch sind dabei vor allem der Internet Explorer unter Windows XP und Android bis zur Version 2.3.

Cloudflare hat Statistiken zur Verbreitung von SNI-Support angelegt und in einer Karte dargestellt. Insgesamt surfen etwa 80 Prozent der Nutzer mit Browsern, die SNI unterstützen. Doch die Verteilung ist sehr unregelmäßig. Die meisten veralteten Browser gibt es im Iran und in Indonesien (52 Prozent), danach folgt China (58 Prozent). In Deutschland ist die Verbreitung moderner Browser mit 91 Prozent vergleichsweise hoch.

Da alle Seiten weiterhin per HTTP erreichbar bleiben, bedeutet diese Einschränkung keine Nachteile für bisherige Kunden. Es gibt auch die Möglichkeit, die entsprechenden Webseiten über IPv6 mit eigener IP zu erreichen. Dann ist kein SNI nötig, allerdings ist die Verbreitung von IPv6 so gering, dass dies kaum einen Unterschied machen dürfte.

ECDSA ist umstritten

Als Verschlüsselungsalgorithmus nutzt Cloudflare für alle Zertifikate den auf elliptischen Kurven basierenden Standard ECDSA. Der Verbindungsaufbau mittels ECDSA ist deutlich schneller als mit dem klassischen RSA-Verfahren. Allerdings ist ECDSA nicht ganz unumstritten: Das Verfahren reagiert extrem sensibel auf schlechte Zufallszahlen. Außerdem kommen hierbei die vom NIST standardisierten Kurven zum Einsatz, die von der NSA stammen und einige Parameter unklarer Herkunft enthalten. Nachvollziehbar ist die Entscheidung von Cloudflare dennoch, denn im Moment ist ECDSA die schnellste Möglichkeit eines Verbindungsaufbaus über TLS. Ebenso wie SNI wird auch ECDSA von vielen älteren Browsern nicht unterstützt.

Für zahlende Kunden bietet Cloudflare nach wie vor die Möglichkeit, eine eigene IPv4-Adresse zu nutzen und neben dem ECDSA-Zertifikat ein RSA-Zertifikat für verschlüsselte Verbindungen einzusetzen.

SPDY für mehr Geschwindigkeit

Zusammen mit HTTPS wird Cloudflare Verbindungen künftig über SPDY ermöglichen, wenn der Browser dies unterstützt. SPDY ist ein von Google entwickeltes Nachfolgeprotokoll für HTTP. Es überträgt Daten gebündelt und ist damit deutlich effizienter als normale HTTPS-Verbindungen. In manchen Fällen können mittels SPDY verschlüsselte Verbindungen sogar schneller abgewickelt werden als klassisches, unverschlüsseltes HTTP. SPDY ist die Grundlage des Protokolls HTTP/2, das zurzeit entwickelt wird.

Bereits am Wochenende hatte Cloudflare seinen Schritt versteckt angekündigt. In einer Meldung zum vierten Geburtstag des Unternehmens lauteten die ersten Buchstaben der Absätze "SSL TLS FREE".


eye home zur Startseite
Andy Y 01. Okt 2014

Nur Leider haben weder Heise noch du die Anwendung verstanden. Flexible SSL vom Browser...

qupfer 01. Okt 2014

Mh, kenne mich mit der Thematik nur oberflächlich aus. Aber "gelernt" habe ich eigentlich...

Smile 29. Sep 2014

Na? Merkte watt? Was bringt dann SSL wenn sowieso alle mitlesen?

doctorseus 29. Sep 2014

Ich habe die Keyless SSL Ankündigung vor einiger Zeit bei CloudFlare gelesen und mich...



Anzeige

Stellenmarkt
  1. Landkreis Lörrach, Lörrach
  2. flexis AG, Stuttgart
  3. DRÄXLMAIER Group, Vilsbiburg bei Landshut
  4. BODYCOTE Deutschland GmbH, Düsseldorf


Anzeige
Spiele-Angebote
  1. 6,99€
  2. 8,99€
  3. 35,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Nokia 3, 5 und 6

    HMD Global bringt drei Nokia-Smartphones mit Android

  2. Moto G5 und Moto G5 Plus im Hands on

    Lenovos kompakte Mittelklasse ist zurück

  3. Handy-Klassiker

    HMD Global bringt das Nokia 3310 zurück

  4. Galaxy Tab S3 im Hands on

    Samsung präsentiert Oberklasse-Tablet mit Eingabestift

  5. Galaxy Book im Hands on

    Samsung bringt neuen 2-in-1-Computer

  6. Mobilfunk

    "5G muss weit mehr als LTE bieten"

  7. UHS-III

    Neuer (Micro-)SD-Karten-Standard schafft über 600 MByte/s

  8. Watch 2 im Hands on

    Huaweis neue Smartwatch soll bis zu 21 Tage lang durchhalten

  9. LG G6 im Hands on

    Schlankes Smartphone hat zwei Kameralinsen

  10. P10 und P10 Plus im Hands on

    Huaweis neues P10 kostet 600 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bundesnetzagentur: Puppenverbot gefährdet das Smart Home und Bastler
Bundesnetzagentur
Puppenverbot gefährdet das Smart Home und Bastler
  1. My Friend Cayla Eltern müssen Puppen ihrer Kinder zerstören
  2. Matoi Imagno Wenn die Holzklötzchen zu dir sprechen
  3. Smart Gurlz Programmieren lernen mit Puppen

Galaxy-A-Serie vs. P8 Lite (2017): Samsungs und Huaweis Kampf um die Mittelklasse
Galaxy-A-Serie vs. P8 Lite (2017)
Samsungs und Huaweis Kampf um die Mittelklasse
  1. Wettbewerbsverstoß Google soll Tizen behindert haben
  2. Strafverfahren De-facto-Chef von Samsung wegen Korruption verhaftet
  3. Samsung Preisliches Niveau der QLED-Fernseher in der Nähe der OLEDs

Fire TV Stick 2 mit Alexa im Hands on: Amazons attraktiver Einstieg in die Streaming-Welt
Fire TV Stick 2 mit Alexa im Hands on
Amazons attraktiver Einstieg in die Streaming-Welt
  1. Fernsehstreaming Fire-TV-App von Waipu TV bietet alle Kanäle kostenlos
  2. Fire TV Amazon bringt Downloader-App wieder zurück
  3. Amazon Downloader-App aus dem Fire-TV-Store entfernt

  1. "pure Android" & "monthly updates"

    cicero | 01:11

  2. Ein kleiner Schritt in die richtige Richtung

    jack56 | 01:08

  3. Re: Wozu?

    Niaxa | 01:06

  4. Ist fast gekauft...

    jack56 | 01:04

  5. Re: suche lte-tablet, das auch mal lädt

    Gladiac782 | 00:46


  1. 21:13

  2. 20:32

  3. 20:15

  4. 19:00

  5. 19:00

  6. 18:45

  7. 18:10

  8. 17:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel