Venafi gibt die Ergebnisse eines neuen Crawler-Berichts des Sicherheitsforschers und Verschlüsselungsexperten Scott Helme bekannt. Der Bericht, der von Venafi gesponsert wird, bietet eine eingehende Sicherheitsanalyse der weltweit wichtigsten einer Million Webseiten in den letzten 18 Monaten.
Angetrieben von der Beschleunigung der digitalen Transformation und der Cloud-Migration während der Pandemie, zeigt die Analyse, dass das Internet in vielerlei Hinsicht sicherer wird. Der Einsatz von Verschlüsselung nimmt zu und die Verwendung neuerer TLS-Protokolle steigt. Trotz der Einführung stärkerer Verschlüsselungsprotokolle verwenden viele Unternehmen jedoch weiterhin veraltete RSA-Verschlüsselungsalgorithmen zur Erzeugung von Schlüsseln, die in Verbindung mit TLS-Zertifikaten als Maschinenidentitäten fungieren, die sichere Verbindungen zwischen physischen, virtuellen und IoT-Geräten, APIs, Anwendungen und Clustern autorisieren. RSA-Algorithmen sind weniger sicher als moderne Alternativen.
Zu den wichtigsten Ergebnissen gehören:
- 72 Prozent der Websites leiten den Datenverkehr jetzt aktiv auf HTTPS (Hypertext-Transfer-Protocol-Secure) um – ein Anstieg um 15 Prozent seit März 2020.
- Fast jede fünfte der Top-1-Million-Websites verwendet jetzt HSTS (HTTP-Strict-Transport-Security) – ein Anstieg von 44 Prozent seit März 2020.
- Mehr als die Hälfte der Top-1-Million-Websites, die HTTPS nutzen, verwenden TLSv1.3, die neueste Version von TLS (Transport-Layer-Security), die TLSv1.2 überholt hat und nun die beliebteste Protokollversion ist.
- Bei den Algorithmen für digitale Signaturen wird nach wie vor RSA bevorzugt, 50,47 Prozent der Websites verwenden es.
- Let’s Encrypt ist jetzt die führende Zertifizierungsstelle (CA) für TLS-Zertifikate, die von 28 Prozent der Websites verwendet wird.
Von den drei Kategorien von Schlüsselgenerierungsalgorithmen, die üblicherweise für die asymmetrische Verschlüsselung verwendet werden – RSA, DSA und ECDSA – ist ECDSA (Elliptic-Curve-Digital-Signature-Algorithm) aufgrund der Berechnungskomplexität am sichersten. ECDSA erzeugt wesentlich kleinere Autorisierungsschlüssel, die weniger Bandbreite für den Aufbau einer SSL/TLS-Verbindung benötigen. Diese kleineren Schlüssel sind ideal für mobile Anwendungen, und da sie in Geräten mit sehr viel begrenzterem Speicherplatz gespeichert werden können, sind ECDSA-Schlüssel ideal für die Unterstützung von mTLS-Stacks in IoT- und Embedded-Geräten.
„Ich hatte gehofft, dass die Verbreitung von TLSv1.3 die Leute dazu bringen würde, ECDSA-Schlüssel anstelle von RSA-Schlüsseln für die Authentifizierung zu verwenden, weil sie viel sicherer sind, aber leider ist das nicht passiert“, sagt Helme. „Es scheint, dass RSA immer noch der bevorzugte Schlüsselalgorithmus ist, und zwar mit beträchtlichem Abstand. Die Unternehmen sagen, dass sie RSA für ältere Clients, die ECDSA noch nicht unterstützen, beibehalten, aber der enorme Anstieg der Nutzung von TLSv1.3 steht im Widerspruch zu dieser Vorstellung, da es auch von älteren Clients nicht unterstützt wird.“
„Wir sehen auch weiterhin eine besorgniserregende Anzahl von RSA 3072 und RSA 4096 Algorithmen. Dies deutet darauf hin, dass mehr getan werden muss, um die Betreiber von Websites über die Sicherheits- und Leistungsvorteile des neueren ECDSA-Schlüsselalgorithmus zu informieren“, ergänzt Helme weiter.
Die Untersuchung zeigt auch, dass Let’s Encrypt jetzt den Certified-Authority-Markt für TLS anführt – ein besonders bemerkenswerter Erfolg, wenn man bedenkt, dass Let’s Encrypt im Jahr 2016 unter den ersten 1 Million komplett fehlte. Achtundzwanzig Prozent der gescannten Websites verwenden Let’s Encrypt, wobei Let’s Encrypt und Cloudflare mehr als die Hälfte der Top-1-Millionen-TLS-Zertifikate in Gebrauch haben. Der Aufstieg von Let’s Encrypt spiegelt sich in einem starken Rückgang der Verwendung von Extended-Validation (EV)-Zertifikaten wider. Die Zahl der Top-1-Million-Sites, die EV-Zertifikate verwenden, ist so niedrig wie nie zuvor in den letzten sechs Jahren der Analyse.
„Der Aufstieg von Let’s Encrypt markiert einen starken Rückgang des wahrgenommenen Wertes von EV-Zertifikaten“, sagt Kevin Bocek, Vice President, Security Strategy and Threat Intelligence bei Venafi. „Browser gewähren EV-Zertifikaten keine Sonderbehandlung mehr, und die Geschwindigkeit der heutigen Entwicklung passt einfach nicht zu den langsamen, manuellen Genehmigungsprozessen, die mit ihnen verbunden sind. Cloud-native Technologien erfordern eine viel größere Anzahl von TLS-Zertifikaten, und diese Technologien erfordern unbedingt eine Automatisierung für Maschinenidentitäten. Da EV-Zertifikate nicht automatisierungsfreundlich sind, werden ihre Nutzung und ihr Wert weiter sinken.“
# Venafi