Providerwechsel – Nachtrag

Die Absicherung des Datenverkehrs zwischen dem Internetbrowser (Besucher) und Webserver mit einem SSL Zertifikat ist eigentlich nur ein Teil der Sicherheitskette.

Ich habe einige Reaktionen auf meinen Beitrag “Providerwechsel geschafft” bekommen und möchte hier nun gerne noch den Beitrag “Providerwechsel geschafft” mit diesen Infos hier ergänzen.

In den meisten Fällen teilen sich viele Webseitenbetreiber einen gemeinsamen Server bei einem Hoster (Shared Hosting). Das könne schon mal 100 Anwender und mehr sein. Sie teilen sich sozusagen das Blech/die Hardware für eine Vielzahl von Anwendungen.
Für dieses Szenario ist der Datenverkehr durch SSL eigentlich nur zwischen dem Browser des Webseitenbesuchers und dem SSL-Proxy beim Hoster/Provider gesichert.
Was weiterhin mit Ihren Daten passiert, steht jedoch auf einem ganz anderen Blatt.
Auf der Datenstrecke vom SSL-Proxy zum Webserver selbst, werden die Daten in aller Regel unverschlüsselt übertragen und auf dem Webserver liegen die Daten in den allermeisten Fällen ebenfalls unverschlüsselt.
Das heißt, das der Datenverkehr hinter dem SSL-Proxy bis auf den Server nach wie vor angreifbar ist. Der Provider sichert sein Netzwerk zwar duch eine Firewall nach aussen ab (die sich vor dem SSL-Proxy befindet), doch ist der Angreifer da einmal durch, liegen die Daten weitestgehend ungeschützt vor.

Darstellung SSL/TLS

Eine Möglichkeit um den gesamten Weg bis zum Server abzusichern, wäre eine statische IP für jede Domain. Damit wäre der Datenverkehr wenigstens bis zum Server SSL verschlüsselt. Oder der Provider verschlüsselt den Datenverkehr zwischen SSL-Proxy und Server eigenständig ab.
Der nächste Schritt in Sachen Sicherheit, wäre das verschlüsseln der Daten auf dem Server selbst. Erst dann wäre die Ketter vollständig.

Wenn Deine Daten wirklich in vertrauenswürdigen Händen aufgehoben sein sollen, dann achte dabei auf weitere Kriterien, wie es beispielsweise eine Zertifizierung nach ISO 27001 der IT-Prozesse beim Provider gewährleisten soll.

Die Möglichkeiten der Absicherung kosten zusätzlich und sind in der Regel auch nur notwendig, wenn man einen Shop oder andere Weblösungen betreibt, wo sensible Kunden- Bankdaten übertragen, gespeichert und gesammelt werden.
Ein einfacher Blog hingegen sollte durch eine SSL Verschlüsselung genug abgesichert sein. Für private Webseitenbetreiber zählt in den meisten Fällen ohnehin nur die theoretisch positiven Auswirkungen auf das Googel Ranking und die Vertrauenswürdigkeit beim Besucher.

SSL schafft Vertrauen beim Besucher und verbessert das Google Ranking Klick um zu Tweeten

Literaturhinweis: Kryptographie und IT-Sicherheit: Grundlagen und Anwendungen *

*Amazon Partnerlink

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.