Venafi stellt den neuen „TLS Crawler Report“ des Sicherheitsforschers und Verschlüsselungsexperten Scott Helme vor, der auf einer eingehende Sicherheitsanalyse der weltweit wichtigsten einer Million Webseiten in den letzten 18 Monaten beruht. Angetrieben von der Beschleunigung der digitalen Transformation und der Cloud-Migration während der Pandemie, zeigt die Analyse, dass das Internet in vielerlei Hinsicht sicherer wird.
Der Einsatz von Verschlüsselung nimmt zu und die Verwendung neuerer TLS-Protokolle steigt. Trotz der Einführung stärkerer Verschlüsselungsprotokolle verwenden viele Unternehmen jedoch weiterhin veraltete RSA-Verschlüsselungsalgorithmen zur Erzeugung von Schlüsseln, die in Verbindung mit TLS-Zertifikaten als Maschinenidentitäten fungieren, die sichere Verbindungen zwischen physischen, virtuellen und IoT-Geräten, APIs, Anwendungen und Clustern autorisieren. RSA-Algorithmen sind weniger sicher als moderne Alternativen.
Zu den wichtigsten Ergebnissen gehören:
Von den drei Kategorien von Schlüsselgenerierungsalgorithmen, die üblicherweise für die asymmetrische Verschlüsselung verwendet werden – RSA, DSA und ECDSA – ist ECDSA (Elliptic Curve Digital Signature Algorithm) aufgrund der Berechnungskomplexität am sichersten. ECDSA erzeugt wesentlich kleinere Autorisierungsschlüssel, die weniger Bandbreite für den Aufbau einer SSL/TLS-Verbindung benötigen. Diese kleineren Schlüssel sind ideal für mobile Anwendungen, und da sie in Geräten mit sehr viel begrenzterem Speicherplatz gespeichert werden können, sind ECDSA-Schlüssel ideal für die Unterstützung von mTLS-Stacks in IoT- und Embedded-Geräten.
„Ich hatte gehofft, dass die Verbreitung von TLSv1.3 die Leute dazu bringen würde, ECDSA-Schlüssel anstelle von RSA-Schlüsseln für die Authentifizierung zu verwenden, weil sie viel sicherer sind, aber leider ist das nicht passiert“, sagt Helme. „Es scheint, dass RSA immer noch der bevorzugte Schlüsselalgorithmus ist, und zwar mit beträchtlichem Abstand. Die Unternehmen sagen, dass sie RSA für ältere Clients, die ECDSA noch nicht unterstützen, beibehalten, aber der enorme Anstieg der Nutzung von TLSv1.3 steht im Widerspruch zu dieser Vorstellung, da es auch von älteren Clients nicht unterstützt wird.“
„Wir sehen auch weiterhin eine besorgniserregende Anzahl von RSA 3072 und RSA 4096 Algorithmen. Dies deutet darauf hin, dass mehr getan werden muss, um die Betreiber von Websites über die Sicherheits- und Leistungsvorteile des neueren ECDSA-Schlüsselalgorithmus zu informieren“, ergänzt Helme weiter.
Die Untersuchung zeigt auch, dass Let’s Encrypt jetzt den CA-Markt für TLS anführt – ein besonders bemerkenswerter Erfolg, wenn man bedenkt, dass Let’s Encrypt im Jahr 2016 unter den ersten 1 Million komplett fehlte. Achtundzwanzig Prozent der gescannten Websites verwenden Let’s Encrypt, wobei Let’s Encrypt und Cloudflare mehr als die Hälfte der Top-1-Millionen-TLS-Zertifikate in Gebrauch haben. Der Aufstieg von Let’s Encrypt spiegelt sich in einem starken Rückgang der Verwendung von Extended Validation (EV)-Zertifikaten wider. Die Zahl der Top-1-Million-Sites, die EV-Zertifikate verwenden, ist so niedrig wie nie zuvor in den letzten sechs Jahren der Analyse.
„Der Aufstieg von Let’s Encrypt markiert einen starken Rückgang des wahrgenommenen Wertes von EV-Zertifikaten“, sagt Kevin Bocek, Vice President, Security Strategy and Threat Intelligence bei Venafi. „Browser gewähren EV-Zertifikaten keine Sonderbehandlung mehr, und die Geschwindigkeit der heutigen Entwicklung passt einfach nicht zu den langsamen, manuellen Genehmigungsprozessen, die mit ihnen verbunden sind. Cloud-native Technologien erfordern eine viel größere Anzahl von TLS-Zertifikaten, und diese Technologien erfordern unbedingt eine Automatisierung für Maschinenidentitäten. Da EV-Zertifikate nicht automatisierungsfreundlich sind, werden ihre Nutzung und ihr Wert weiter sinken.“
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…