• IT-Karriere:
  • Services:

HTTPS: Kostenlose TLS-Verschlüsselung bei Cloudflare

Cloudflare aktiviert künftig bei allen Kunden kostenlos verschlüsselte HTTPS-Verbindungen. Damit verdoppelt sich die Zahl der Webseiten im Netz, die verschlüsselt erreichbar sind.

Artikel veröffentlicht am , Hanno Böck
"Universal SSL" heißt es ab sofort bei Cloudflare.
"Universal SSL" heißt es ab sofort bei Cloudflare. (Bild: Cloudflare)

Die Zahl der verschlüsselten Webseiten dürfte rasant zunehmen: Cloudflare wird in seinem Content Delivery Network künftig sämtlichen Kunden bereits in der Standardeinstellung HTTPS-Verbindungen ermöglichen. Das gilt auch für das kostenlose Einsteigerangebot. Laut der Ankündigung von Cloudflare für Universal SSL gibt es bislang etwa zwei Millionen HTTPS-Webseiten im Netz, nach dem heutigen Tag sollen es doppelt so viele sein.

Stellenmarkt
  1. KDO Service GmbH, Oldenburg
  2. Otto Krahn Group GmbH, Hamburg

Im Laufe des Tages soll die neue Funktion bei allen Kunden-Accounts automatisch aktiviert werden. Zwei Herausforderungen hatte es laut Ankündigung bei der Umsetzung des Plans gegeben: Knappe IPv4-Adressen und Performance-Probleme. Cloudflare setzt daher auf Technologien, die mit manchen alten Browsern Probleme bereiten können: ECDSA-Zertifikate und Server Name Indication (SNI).

SNI und ECDSA nötig

Klassische SSL-Verbindungen sicherten die gesamte IP-Verbindung mit einem Zertifikat ab. Das bedeutet, dass es keine Möglichkeit gibt, einen Hostnamen zu übergeben, bevor das Zertifikat übertragen wird. Somit wurde für jedes Zertifikat eine eigene IP-Adresse benötigt. Diese Zeiten sind zwar längst vorbei, denn bereits 2003 wurde in RFC 3546 eine TLS-Erweiterung namens Server Name Indication (SNI) spezifiziert, die mehrere Hostnamen auf einer IP ermöglicht. Doch nach wie vor gibt es ältere Browser, die SNI nicht unterstützen. Problematisch sind dabei vor allem der Internet Explorer unter Windows XP und Android bis zur Version 2.3.

Cloudflare hat Statistiken zur Verbreitung von SNI-Support angelegt und in einer Karte dargestellt. Insgesamt surfen etwa 80 Prozent der Nutzer mit Browsern, die SNI unterstützen. Doch die Verteilung ist sehr unregelmäßig. Die meisten veralteten Browser gibt es im Iran und in Indonesien (52 Prozent), danach folgt China (58 Prozent). In Deutschland ist die Verbreitung moderner Browser mit 91 Prozent vergleichsweise hoch.

Da alle Seiten weiterhin per HTTP erreichbar bleiben, bedeutet diese Einschränkung keine Nachteile für bisherige Kunden. Es gibt auch die Möglichkeit, die entsprechenden Webseiten über IPv6 mit eigener IP zu erreichen. Dann ist kein SNI nötig, allerdings ist die Verbreitung von IPv6 so gering, dass dies kaum einen Unterschied machen dürfte.

ECDSA ist umstritten

Als Verschlüsselungsalgorithmus nutzt Cloudflare für alle Zertifikate den auf elliptischen Kurven basierenden Standard ECDSA. Der Verbindungsaufbau mittels ECDSA ist deutlich schneller als mit dem klassischen RSA-Verfahren. Allerdings ist ECDSA nicht ganz unumstritten: Das Verfahren reagiert extrem sensibel auf schlechte Zufallszahlen. Außerdem kommen hierbei die vom NIST standardisierten Kurven zum Einsatz, die von der NSA stammen und einige Parameter unklarer Herkunft enthalten. Nachvollziehbar ist die Entscheidung von Cloudflare dennoch, denn im Moment ist ECDSA die schnellste Möglichkeit eines Verbindungsaufbaus über TLS. Ebenso wie SNI wird auch ECDSA von vielen älteren Browsern nicht unterstützt.

Für zahlende Kunden bietet Cloudflare nach wie vor die Möglichkeit, eine eigene IPv4-Adresse zu nutzen und neben dem ECDSA-Zertifikat ein RSA-Zertifikat für verschlüsselte Verbindungen einzusetzen.

SPDY für mehr Geschwindigkeit

Zusammen mit HTTPS wird Cloudflare Verbindungen künftig über SPDY ermöglichen, wenn der Browser dies unterstützt. SPDY ist ein von Google entwickeltes Nachfolgeprotokoll für HTTP. Es überträgt Daten gebündelt und ist damit deutlich effizienter als normale HTTPS-Verbindungen. In manchen Fällen können mittels SPDY verschlüsselte Verbindungen sogar schneller abgewickelt werden als klassisches, unverschlüsseltes HTTP. SPDY ist die Grundlage des Protokolls HTTP/2, das zurzeit entwickelt wird.

Bereits am Wochenende hatte Cloudflare seinen Schritt versteckt angekündigt. In einer Meldung zum vierten Geburtstag des Unternehmens lauteten die ersten Buchstaben der Absätze "SSL TLS FREE".

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Edifier Studio R1280T Lautsprecher für 69,90€, Cooler Master MasterBox MB520 ARGB...
  2. (heute: Noblechairs Epic Java Edition Gaming Stuhl)
  3. täglich neue Preise zu gewinnen
  4. täglich neues Blitzangebot von 18 bis 21 Uhr

Andy Y 01. Okt 2014

Nur Leider haben weder Heise noch du die Anwendung verstanden. Flexible SSL vom Browser...

qupfer 01. Okt 2014

Mh, kenne mich mit der Thematik nur oberflächlich aus. Aber "gelernt" habe ich eigentlich...

Smile 29. Sep 2014

Na? Merkte watt? Was bringt dann SSL wenn sowieso alle mitlesen?

doctorseus 29. Sep 2014

Ich habe die Keyless SSL Ankündigung vor einiger Zeit bei CloudFlare gelesen und mich...


Folgen Sie uns
       


Android Smartphone als Webcam nutzen - Tutorial

Wir erklären in einem kurzen Video, wie sich das Smartphone für Videokonferenzen unter Windows nutzen lässt.

Android Smartphone als Webcam nutzen - Tutorial Video aufrufen
Librem Mini v2 im Test: Der kleine Graue mit dem freien Bios
Librem Mini v2 im Test
Der kleine Graue mit dem freien Bios

Der neue Librem Mini eignet sich nicht nur perfekt für Linux, sondern hat als einer von ganz wenigen Rechnern die freie Firmware Coreboot und einen abgesicherten Bootprozess.
Ein Test von Moritz Tremmel

  1. Purism Neuer Librem Mini mit Comet Lake
  2. Librem 14 Purism-Laptops bekommen 6 Kerne und 14-Zoll-Display
  3. Librem Mini Purism bringt NUC-artigen Mini-PC

Macbook Air mit Apple Silicon im Test: Das beste Macbook braucht kein Intel
Macbook Air mit Apple Silicon im Test
Das beste Macbook braucht kein Intel

Was passiert, wenn Apple ein altbewährtes Chassis mit einem extrem potenten ARM-Chip verbindet? Es entsteht eines der besten Notebooks.
Ein Test von Oliver Nickel

  1. Apple Macbook Air (2020) im Test Weg mit der defekten Tastatur!
  2. Retina-Display Fleckige Bildschirme auch bei einigen Macbook Air
  3. iFixit Teardown Neue Tastatur macht das Macbook Air dicker

Made in USA: Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
Made in USA
Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren

Zu unbequemen Fragen schweigen die Transatlantiker Manuel Höferlin, Falko Mohrs, Metin Hakverdi, Norbert Röttgen und Friedrich Merz. Das wirkt unredlich.
Eine Recherche von Achim Sawall

  1. Sandworm Hacker nutzen alte Exim-Sicherheitslücke aus

    •  /