Automatischer Schutz im Web mit IE11: 40 % sicherere Websites bei gleicher Funktionalität
Internet Explorer 11 ist der erste Browser, der für sicherere und zuverlässigere Internetverbindungen sorgt, indem weniger die anfälligen Verschlüsselungssuites wie RC4 und mehr neueste Sicherheitsstandards wie TLS 1.2 zum Einsatz kommen. Dank dieser Änderungen in IE11 können Sie bedenkenlos auf wichtige persönliche Informationen zugreifen, ob in sozialen Netzwerken, auf Bankwebsites, Handelsplattformen oder sonstigen Websites. Diese Fortschritte sind unseren kontinuierlichen Bemühungen zu danken, IE in Schlüsselbereichen wie Social Engineering-Angriffen zum sichersten Browser zu entwickeln.
Geringere Nutzung der anfälligen RC4-Verschlüsselungssuite in IE11
Die verringerte Verwendung der anfälligen RC4-Verschlüsselungssuite in IE11 stellt eine wesentliche Verbesserung der Sicherheit dar. Bei RC4 handelt es sich um eine von TLS-Servern umfassend unterstützte (und oftmals bevorzugte) Streamverschlüsselung. Aktuelle Studien, beispielsweise von AlFardan, weisen jedoch darauf hin, dass durch Exploits im RC4-Schlüsselstream verschlüsselte Daten wiederhergestellt werden können. Zudem hat RC4 weitere, von Paul, Mantin und Fluhrer aufgedeckte Schwachstellen. Auf Grundlage dieser Studien lautet der Branchenkonsens, dass RC4 eine Reihe kryptografischer Schwächen aufweist und RC4-Exploits nun praktisch einsetzbar sind. Als Reaktion haben wir Änderungen am TLS-Standard vorgeschlagen, damit andere Browser und große Branchenunternehmen die Führungsrolle von Internet Explorer hinsichtlich der Websicherheit unterstützen können.
Trotz der derzeitigen weiten Verbreitung der RC4-Verschlüsselungssuite sorgen die Änderungen in IE11 für erhöhte Sicherheit und stellen dabei gleichzeitig die Kompatibilität mit dem Web sicher. Während des ersten TLS/SSL-Handshakes werden von IE11 keine RC4-Verschlüsselungssuites bereitgestellt. Auf diese Weise werden bei den meisten Verbindungen erfolgreich Verschlüsselungssuites genutzt, die nicht auf RC4 basieren. Eine Untersuchung von 5 Millionen Internetwebsites ergab, dass über 96 % der Websites andere Verschlüsselungen als RC4 aushandeln können. Insbesondere unterstützen fast 39 % der Websites eine andere Verschlüsselung als RC4, obwohl diese bevorzugt wird. Auf diesen Websites wird daher die Internetsicherheit durch IE11 deutlich verbessert.
| Websitetyp | Anzahl | Prozentsatz | Verhalten von IE11 |
| Gesamtanzahl der untersuchten Websites | 5.000.000 | 100 % | |
| Websites, auf denen derzeit RC4-Verschlüsselung eingesetzt wird | 2.127.500 | 42,55 % | |
| Websites, die Nicht-RC4-Verschlüsselung unterstützen | 1.932.500 | 38,65 % | IE11 erhöht die Sitesicherheit durch Aushandlung einer nicht auf RC4 basierenden Verschlüsselung |
| Websites, die nur mit RC4-Verschlüsselung funktionieren | 195.000 | 3,90 % | IE11 stellt durch Zurückgreifen auf eine RC4-Verschlüsselung sicher, dass diese Websites aufgerufen werden können |
| Websites, auf denen derzeit keine RC4-Verschlüsselung eingesetzt wird | 2.872.500 | 57,45 % | IE11 setzt die Aushandlung von nicht auf RC4 basierenden Verschlüsselungen auf diesen Websites fort |
Ergebnis einer Untersuchung von 5 Millionen Internetwebsites: IE11 erhöht automatisch die Sicherheit von 39 % der Websites ohne Auswirkungen auf die Kompatibilität
Im seltenen Fall, dass der Browser keine nicht auf RC4 basierende Verschlüsselungssuite mit dem Server aushandeln kann, greift IE11 auf die Aushandlung von TLS 1.0 oder SSL 3.0 mit RC4 zurück, damit der Zugriff auf benötigte Websites gewährleistet bleibt. Microsoft arbeitet aktiv mit vielen dieser Websites zusammen, um Unterstützung für nicht auf RC4 basierenden Verschlüsselungssuites zu implementieren.
Aktivieren von TLS 1.2 als Standardeinstellung
Die Websicherheit wird von IE11 weiter verbessert, indem standardmäßig TLS Version 1.2 aktiviert wird, aufbauend auf der erstmaligen Implementierung von TLS 1.2 in einem Browser als optionale Einstellung in IE8. Der Zugriff auf Websites wie Outlook.com, Facebook usw. erfolgt mit branchenführenden Sicherheitsstandards, sodass Ihre persönlichen Informationen geschützt bleiben. TLS 1.2 sorgt durch Unterstützung von weiterentwickelten Kryptografiesuites für erhöhte Sicherheit. Die meisten nutzbaren Exploits, die auf TLS 1.0- und TLS 1.1-Verschlüsselungen abzielen, funktionieren nicht bei TLS 1.2-Verschlüsselungen. Beispielsweise ist TLS 1.2 nicht von BEAST-Angriffen betroffen.
Mit IE11 können Sie die Vorteile der erweiterten TLS 1.2-Sicherheit nutzen und erhalten die gleiche Leistung wie bei einer RC4-Verschlüsselung. TLS 1.2 bietet neue Verschlüsselungssuites, die verlässliche Sicherheit und hohe Leistung gewährleisten. Z. B. wird die AES-GCM-Verschlüsselungssuite nur von TLS 1.2 unterstützt, verfügt jedoch über die gleiche Leistung wie RC4-Verschlüsselungen. Durch das Aktivieren von TLS 1.2 mit AES-GCM können Websites zuverlässig gesichert werden, ohne dass dabei eine zusätzliche Serverbelastung entsteht.
Da TLS 1.2 in IE11 in der Standardeinstellung aktiviert ist, wird die Sicherheit von fast 16 % der Webserver automatisch erhöht. Diese Anzahl wird höher, da zukünftig weitere Server und Browser TLS 1.2 unterstützen und bevorzugen. TLS 1.2 wurde von Windows Server seit Windows Server 2008 R2 unterstützt und wir empfehlen, TLS 1.2 mittels einer einfachen Konfigurationsänderung in IIS zu aktivieren. Von Servern wie Apache wird TLS 1.2 ebenfalls unterstützt und im Zuge der weiteren Branchenentwicklung wird TLS 1.2 zukünftig auch von anderen Webservern unterstützt. Die Kompatibilität mit bestehenden Servern ist von dieser Änderung nicht betroffen, da diese die TLS-Aushandlung mit der höchsten gemeinsam unterstützten Version ausführen. Standardmäßig werden TLS 1.2, TLS 1.1, TLS 1.0 und SSL 3.0 von IE11 unterstützt.
Fazit
IE11 erhöht die Sicherheit von 39 % der Websites, indem die Verwendung anfälliger RC4-basierter Verschlüsselungssuites minimiert wird. Bei 16 % der Websites wird die Sicherheit durch Aushandlungen mit TLS 1.2, der sichersten TLS-Version, erhöht.
Testen Sie IE11, um mit den neuesten Branchenstandards sicherer zu surfen. Wir freuen uns auf Ihr per Connect gegebenes Feedback, das zur Weiterentwicklung und Verbesserung des Browsers beiträgt.
Hasnat Naveed und Ritika Kapadia
Programmanager für Windows und Internet Explorer