SSL sicher implementieren
Tóm tắt
Das Protokoll Transport Layer Security (TLS), bekannt auch unter der ursprünglichen Bezeichnung Secure Sockets Layer Protocol (SSL), ist eines der wichtigsten Protokolle für die sichere Kommunikation im Internet — und feiert in diesem Jahr den 20sten Geburtstag. SSL sorgt für die Verschlüsselung von Daten und schützt vor unautorisierter Modifikation. Allerdings wurden auch bei SSL Schwachstellen bekannt: in den Protokollen, SSL-Bibliotheken, Middleware-Komponenten und Anwendungsprogrammen. Der Beitrag gibt einen überblick, was bei der Nutzung von SSL berücksichtigt werden sollte.
Tài liệu tham khảo
M. Georgiev, S. Iyengar, S. Jana et al., „The Most Dangerous Code in the World: Validating SSL Certificates in Non-Browser Software”, 2012, http://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf
S. Fahl, M. Harbach, L. Baumgaertner and B. Freisleben, „Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security”, 2012, http://www2.dcsec.uni-hannover.de/files/android/p50-fahl.pdf
S. Fahl, M. Harbach, H. Perl et al., „Rethinking SSL Development in an Applied World”, 2013, http://android-ssl.org/files/p49.pdf
Qualys SSL Labs: „SSL/TLS Deployment Best Practices” https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices_1.3.pdf
OWASP: „OWASP Transport Layer Protection Cheat Sheet” https://owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet
OWASP: „Testing for Weak SSL/TLS Ciphers, Insufficient Transport Layer Protection (OWASP-EN-002)” https://www.owasp.org/index.php/Testing_for_Weak_SSL/TSL_Ciphers,_Insufficient_Transport_Layer_Protection_%28OWASP-EN-002%29
J. Sunshine, S. Egelman, H. Almuhimedi et al., „Crying Wolf: An Empirical Study of SSL Warning Effectiveness“. In: Proceedings of the 18th USENIX Security Symposium, 2009.