• IT-Karriere:
  • Services:

Veraltete Schlüssel und ungültige Zertifikate

Der dritte von uns getestete, kostenlose Anbieter Bplaced bietet einen FTPES-Zugang. Aber auch hier ist die Verwaltung des Accounts über HTTPS nicht möglich, das Interface ist nur unverschlüsselt über HTTP erreichbar. Bplaced teilte uns auf Anfrage mit, dass der Grund dafür externe Skripte seien, die die Seite in der Vergangenheit genutzt habe und die nicht per HTTPS verfügbar gewesen seien. "Im Zuge einer Runderneuerung, die für Mitte des Jahres angesetzt ist, wird das Frontend ausschließlich via 256-Bit-Zertifikat und damit auch HTTPS erreichbar sein, womit die Übertragung aller Daten ausnahmslos verschlüsselt ablaufen wird", heißt es weiter. Dass Bplaced wirklich vorhat, ein 256-Bit-Zertifikat einzuführen, bezweifeln wir jedoch: Bei HTTPS-Zertifikaten handelt es sich üblicherweise um RSA-Schlüssel, die heutzutage mindestens eine Länge von 2.048 Bit haben.

Stellenmarkt
  1. Auswärtiges Amt, Bonn, Berlin
  2. Deutsches Klimarechenzentrum GmbH, Hamburg

Alle drei getesteten kostenlosen Angebote waren somit zunächst mangelhaft. Die Antworten auf unsere Anfragen lassen teilweise darauf schließen, dass den Verantwortlichen Basiskenntnisse über TLS fehlen - kein gutes Zeichen. Die Ausrede, dass man bei einem kostenlosen Webspace nicht mehr erwarten kann, zieht hier nicht. Denn die Anbieter gefährden nicht nur ihre eigenen Kunden: Gehackte Webseiten sind eine Bedrohung für alle.

TLS- und SSH-Einstellungen

Bei der Überprüfung der jeweiligen TLS- und SSH-Verbindungen sind uns einige aus kryptographischer Sicht nicht optimale oder ungewöhnliche Einstellungen aufgefallen. Bei Bplaced, Funpic, Cwcity, Domainfactory und All-Inkl etwa wurde die FTPES-Verbindung mit ungültigen oder selbst signierten Zertifikaten hergestellt. Interessant war hier auch, dass bis auf Funpic alle Anbieter, die kein korrektes Zertifikat einsetzten, nur kurze 1.024-Bit-RSA-Schlüssel verwendeten. Von den großen Zertifizierungsstellen werden solche Schlüssel üblicherweise überhaupt nicht mehr signiert. Die SFTP-Verbindungen von Strato und 1&1 waren ebenfalls nur mit einem 1.024-Bit-Schlüssel geschützt. 1&1 setzt dabei ausschließlich auf das bei SSH eher ungewöhnliche und nicht unproblematische DSA-Verfahren.

Forward Secrecy und TLS 1.2 mit GCM - die eigentlich optimale Konfiguration für TLS - fanden wir nur bei All-Inkl und Hetzner. Auch bei den Konfigurationswebseiten waren die TLS-Einstellungen eher durchwachsen. Kein einziger Anbieter schützt sein Webinterface mit der HSTS-Erweiterung, die HTTP-Zugriffe nach dem ersten Verbindungsaufbau komplett unterbindet.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Doch diese Probleme sind eher zweitrangig. Da bei allen getesteten Anbietern unverschlüsselte Verbindungen möglich sind und Nutzer nicht genügend auf die Möglichkeit der Verschlüsselung hingewiesen werden, ist davon auszugehen, dass die meisten Verbindungen komplett ungesichert ablaufen. Und das ist ein deutlich schwerwiegenderes Problem als zu kurze Schlüssel oder fehlende Forward Secrecy.

Software: meist kein Problem

Gängige FTP-Programme haben in der Regel mit verschlüsselten Verbindungen kein Problem. Beim freien Programm Filezilla, das für alle gängigen Betriebssysteme verfügbar ist, kann im Servermanager unter "Protokoll" SFTP ausgewählt werden, für FTPES wählt man als Protokoll "FTP" und unter dem Punkt "Verschlüsselung" "Explizites FTP über TLS". Auch andere verbreitete FTP-Programme wie SmartFTP, WS_FTP oder WinSCP unterstützen beide verschlüsselten Datenübertragungsverfahren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Verschlüsselung bei den fünf größten AnbieternBrowserunterstützung und Fazit 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5 5600X 358,03€)

hjp 07. Mär 2014

Wenn der Block-Cipher gemeint ist (was ich natürlich nicht ausschließen kann), zeugt das...

Horsty 06. Mär 2014

Die Sicherheitsfrage beim FTP Protokoll ist absolut berechtigt und es ist gut hierüber...

redmord 05. Mär 2014

Pageant ist für mich wirklich keine Lösung. Außerdem nutze ich auch mehrere Verbindungen...

das_ist_unglaub... 05. Mär 2014

sftp weil es über SSH läuft und nicht wie bei diversen verschlüsselten FTP Variationen...

das_ist_unglaub... 05. Mär 2014

So ein Unsinn - Du glaubst doch nicht wirklich dass die Verschlüsselung im Kontext einer...


Folgen Sie uns
       


Returnal - Fazit

Im Video stellt Golem.de das Actionspiel Returnal vor.

Returnal - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /