Sicherheit

Google schränkt HTTPS-Experiment ein

von - 18.04.2012
Google schränkt HTTPS-Experiment ein
Mit einer Technik namens „SSL False Start“ wollte Google HTTPS-Verbindungen beschleunigen. Jetzt tauchten jedoch einige technische Probleme auf, die das Projekt verzögern und auf einige wenige Server beschränken.
Für die sichere Datenübertragung verwenden Browser HTTPS-Verbindungen. Damit lassen sich Benutzernamen, Passwörter und Webseiten verschlüsseln, beispielsweise beim Online-Banking. Es gibt jedoch eine Tendenz, mittelfristig alle Internetverbindungen über HTTPS abzuwickeln. Schließlich ist auf vielen Webseiten eine Anmeldung erforderlich und es werden oft einzelne Bereiche von anderen Servern nachgeladen, etwa für die Verbindung zu sozialen Netzwerken.
Bei HTTPS werden die Daten mittels SSL/TLS verschlüsselt. Dabei erfolgt zuerst eine Authentifizierung zwischen Server und Browser, bei der SSL-Zertifikate als Ausweis dienen. Danach tauschen die Kommunikationspartner einen Sitzungsschlüssel aus, mit dem die Daten verschlüsselt werden. Das Verfahren ist technisch relativ aufwendig und belastet die CPU des Servers. Bei der Authentifizierung muss der Browser zudem auf Nachrichten vom Server warten und umgekehrt (SSL-Handshake). Dadurch erfolgt bei HTTPS der Seitenaufbau langsamer als bei unverschlüsselten HTTP-Verbindungen.
Die Verzögerungen bei HTTPS könnten viele Erfolge zunichtemachen, die in letzter Zeit bei der Beschleunigung der Browser erreicht wurden. Google hat sich daher einige Techniken einfallen lassen, mit denen sich HTTPS verbessern lässt. Eine davon ist False Start. Damit soll sich der SSL-Handshake um bis zu 30 Prozent verkürzen lassen. Google ging bisher davon aus, dass False Start mit den meisten Servern zusammenarbeiten würde. Problematische Server sollten über eine Blacklist im Browser ausgeschlossen werden. False Start sollte erstmals in Chrome 20 für die meisten Websites zum Einsatz kommen.
Nähere Untersuchungen ergaben allerdings ein anderes Bild. Adam Langley und sein Team fanden heraus, dass manche HTTPS-Server nicht vorhersagbare Verhaltensmuster bei False Start aufwiesen. Bei diesen Servern handelte es sich fast ausschließlich um SSL-Terminatoren. Diese kappen SSL-Verbindungen und leiten Daten unverschlüsselt an Webserver weiter.
Das Problem selbst wäre laut Langley leicht zu beheben. Dennoch zeigt der größte Anbieter für SSL-Termination kein Interesse an False Start.
Mit Chrome 20 sollen daher nur Webseiten unterstützt werden, die mit der TLS-Erweiterung Next Protocol Negotiation (NPN) laufen. Das sind bisher noch nicht besonders viele, was sich aber in Zukunft ändern könnte.
Verwandte Themen