In eigener Sache: Radio Utopie aktiviert HSTS alias Force HTTPS

„HTTP Strict Transport Security“ HSTS sichert via ssl und dessen Weiterentwicklung TLS verschlüsselte Verbindungen im World Wide Web, dem mit Abstand größten Teil des Internets. Trotzdem ist das ursprünglich „Force HTTPS“ genannte Protokoll bis heute in Deutschland weitgehend unbekannt.

Erst „HTTP Strict Transport Security“ HSTS sichert via ssl und die Weiterentwicklung TLS verschlüsselte Verbindungen im World Wide Web, dem mit Abstand größten Teil des Internets. Doch obwohl die Problematik der Unsicherheit von SSL/TLS verschlüsselten Verbindungen ohne die Aktivierung von HSTS vor sechs Jahren öffentlich gemacht wurde, sitzen die selbsternannten „Experten“, wenn sie überhaupt eine Ahnung haben, bezüglich HSTS auf ihren Händen und tun nichts um dieses für die Sicherheit im WWW elementare Fachwissen unter die Leute zu bringen. Obwohl wir bereits im Juli 2012 – in dieser Materie unerfahren und unter vielen Rückschlägen und Problemen – auf HTTPS umgestellt haben, sind wir erst vor Kurzem durch die „Electronic Frontier Foundation“ auf die Notwendigkeit der Aktivierung von HSTS, sowie die Sachlage insgesamt aufmerksam gemacht worden.

Wir haben nun HSTS auf den beiden SSL/TLS-verschlüsselten Seiten von Radio Utopie aktiviert, auf dieser Online-Zeitung sowie der Nachrichtenagentur (die Meldung von teilweise unverschlüsselten Daten hier auf der Online-Zeitung radio-utopie.de rührt von einem Werbebanner *update* Banner wurde entfernt).

Der Begriff „HTTP Strict Transport Security“(HSTS) vernebelt die tatsächliche Problematik. Es geht die Sicherstellung des Aufbaus einer via SSL/TLS verschlüsselten Verbindung bereits im Ansatz. Entsprechend hieß das Papier von Collin Jackson und Adam Barth, welches auf der 17. World Wide Web Konferenz in Peking vom 21-25. April 2008 vorgestellt wurde, „ForceHTTPS: Protecting High-Security Web Sites from Network Attacks“. Doch erst im November 2012 bequemte sich die 1986 gegründete, ominöse „Internet Engineering Task Force“ daraus den Internet-Standard RFC 6797 zu machen, unter dem Label HSTS.

Über die Architektur des Internets insgesamt und explizit dessen heute entscheidender Teil, das am 30. April 1993 durch das Europäische Kernforschungszentrum CERN der Welt zur Verfügung gestellte World Wide Web, das ab 1997 durch die Erfindung des HTML4 so unerwartet expandierte, wird noch öffentlich zu reden sein.

Denn die „Experten“ tun das nicht. Aber das schon seit Jahrzehnten.