2016 – das Jahr, in dem HTTPS die 50-Prozent-Hürde nahm
Unzählige Organisationen haben im vergangenen Jahr ihre Websites auf das sichere Transportprotokoll umgestellt: Heise, The Guardian, Wired, SourceForge, und viele mehr. Laut Mozillas Telemetrie-Daten übertraf der TLS-verschlüsselte Traffic im Oktober erstmals die 50-Prozent-Marke. Vermutlich wird es jedoch wohl noch viele Jahre dauern bis alle Sites verschlüsselt ausgeliefert werden und HTTP deaktiviert werden kann.
Es gab jedoch auch einige neue Angriffe: SLOTH (Security Losses from Obsolete and Truncated Transcript Hashes), Sweet32 und DROWN ließen uns nicht vergessen, dass alte, unsichere Algorithmen weiterhin eine Bedrohung darstellen.
Zertifizierungsstellen sind nach wie vor bedeutend, wenn es um die Sicherheit von TLS geht. Der Rauswurf von WoSign und StartCom erinnerte daran. Erfreulicherweise gibt es mit Let's Encrypt nun auch freie zertifikate die erheblich zur Verbreitung von HTTPS beigetragen haben. Und dank Zertifikatstransparenz, die für alle neuen Zertifikate ab Oktober 2017 erforderlich ist, kann der Missbrauch in diesem Bereich heute viel besser erkannt werden.
Auch TLS 1.3 wird ab Anfang 2017 die Sicherheit und Leistung für verschlüsselte Verbindungen deutlich verbessern.
Und wer sich weiter über diese Themen informieren möchte, kann sich die Videos einiger Vorträge beim 33ten Chaos Communication Congress (33C3) anschauen: