Interview mit Torsten Köster

TLS: Angst, Faulheit und ein schlechter Ruf

Melanie Feldmann

Torsten Köster

„TLS? Langsam! HTTP2? Braucht kein Mensch!“ – Unfug, sagt W-JAX Speaker Torsten Bøgh Köster: TLS ist auf dem Vormarsch, demnächst Pflicht in Chrome und Firefox und Grundlage für den Einsatz von HTTP/2. Im Interview erklärt er, wie man TLS-Konfigurationen beschleunigt und wieso TLS in Verbindung mit HTTP/2 eine so gute Kombination ist.

JAXenter: Was muss ein Entwickler hauptsächlich beachten, wenn er seine Webseite auf TLS heben will?

Torsten Köster: Hier muss man zwischen der eigentlichen TLS-Konfiguration (bzw. SSL) und dem Transitionsprozess der Webseite unterscheiden. Bei der TLS-Konfiguration muss man den Spagat zwischen einer sicheren Konfiguration und der Unterstützung auch älterer Clients meistern – z. B. Windows XP. Für den Start können HTTP und HTTPS-Version einer Webseite parallel betrieben werden. Durch Abtesten der HTTPS-Variante kann auf Mixed-Content-Warnungen getestet werden, also Resourcen, die noch von unsicheren Verbindungen eingebunden werden. Tracking-Systeme wie Google Analytics oder New Relic sind da Kandidaten.

Bei der TLS-Konfiguration muss man den Spagat zwischen einer sicheren Konfiguration und der Unterstützung älterer Clients meistern.

Irgendwann sollte man sich entscheiden, den HTTP-Traffic auf die HTTPS-Variante zu leiten. Hier sollte man die Redirects im Webserver so sauber aufsetzen, dass nur ein einziger Redirect an den Client ausgelöst wird. Ansonsten wird die Latenz z. B. im Mobile-Bereich zu extremen Conversion-Rate-Einbußen führen.

Spätestens jetzt sollte man sich den CPU-Verbrauch für die TLS-Termination anschauen. Die TLS-Termination ist ein CPU-Fresser. Wobei auch das sich sehr gebessert hat. Auch TLS von Hochlastwebseiten lässt sich ohne Probleme auf virtuellen Maschinen terminieren, hier arbeiten z. B. HAProxy und OpenSSL extrem effizient.

JAXenter: TLS hat den Ruf langsam zu sein. Was müssen Entwickler machen, damit dem nicht so ist?

Torsten Köster: Definitiv in meinen Talk kommen. Out-of-the-Box sind TLS-Konfigurationen meist langsam und nicht besonders sicher. Der größte Zeitfresser sind unnötige Roundtrips zwischen Server und Client oder sogar zwischen Client und Zertifizierungsstelle, um Zertifikate zu validieren. Um alle TLS-Roundtrips zu eliminieren, können z. B. Extra-Validierungszertifikate genutzt (OCSP-Stapling) und Protokoll-Vorwahl und ein TLS-Frühstart ermöglicht werden. Alles erprobte und verbreitete Techniken.

JAXenter: Gerade bei mobilen Datenverkehr ist jedes Byte kostbar. Auf welche Besonderheiten sollten Entwickler Rücksicht nehmen?

Im Mobile-Bereich ist jedwede Form der Verschlüsselung leider kontraproduktiv.

Torsten Köster: Hier ist jedwede Form der Verschlüsselung leider kontraproduktiv, denn die bläht den Datenverkehr immer auf. Aber auch hier kann man TLS auf Diät setzen und Roundtrips minimieren und TLS auf den Einsatz in wackeligen Netzen optimieren. Wenn öfter mal Pakete verloren gehen – wie in Mobilfunknetzen–, macht es z. B. Sinn die Größe der am Stück verschlüsselten Frames zu reduzieren.

JAXenter: Warum sind TLS und HTTP/2 eine so gute Kombination?

Torsten Köster: TLS ist in den aktuellen Browserimplementierungen zwingende Voraussetzung für den Einsatz von HTTP2. Als notwendiges Übel sollte man sich mit dem Thema TLS beschäftigen…

JAXenter: Mit der Let’s-Encrypt-Initiative fallen eigentlich alle Argumente weg, warum unverschlüsselt Daten versendet werden. Aber noch immer ist nur ein Bruchteil des Netzes verschlüsselt. Warum ist das Ihrer Meinung nach so?

Torsten Köster: Das wird eine Mixtur aus Angst, Faulheit und dem Schlechten Ruf von TLS sein. Ich arbeite bei der Shopping24 Internet Group und als Produktsuche ist uns eine hohe Conversion Rate unserer Benutzer extrem wichtig. Entsprechend heftig haben wir bei der Umstellung der ersten Mandanten auf TLS gezittert. Und das nicht zu Unrecht, denn auch unsere TLS-Konfiguration war zum Start alles andere als ideal. Inzwischen erzielen wir auf den TLS-Mandanten eine bessere Conversion Rate als auf den wenigen unverschlüsselten Mandanten. Die Conversion Rate wird sich durch den weiteren Ausbau von HTTP2 und die fortschreitende Unterstützung in den Webservern aber eher noch verbessern.

w-jax 2016 logoTreffen Sie Torsten Bøgh Köster auf der W-JAX 2016

Seine Session Tuning TLS for Security, Speed and HTTP/2 wird am Dienstag, 8. November, ab 16.45 Uhr Saal „Atlanta“ stattfinden.

Abstract:
„TLS? Langsam! HTTP2? Braucht kein Mensch!“ – Unfug! TLS ist auf dem Vormarsch, demnächst Pflicht in Chrome und Firefox und Grundlage für den Einsatz von HTTP/2. Das Gerücht von langsamen TLS hält sich hartnäckig und gründet sich in den vielen Standardinstallationen von Apache, nginx und Co. Mit dem Start von Let’s Encrypt sind reguläre SSL-Zertifikate für jedermann erhältlich. In dieser Session heben wir (live) eine ungesicherte Webseite auf TLS und HTTP/2. Wir arbeiten mit einem Let’s-Encrypt-Zertifikat. Wir prüfen und optimieren TLS-Sicherheitslevel und -Geschwindigkeit. Vor allem der initiale TLS-Handshake benötigt einiges an Optimierung, um vor allem bei mobilen Verbindungen die Latenz und damit die TTFB zu minimieren. Im letzten Schritt heben wir die Auslieferung der Webseite auf HTTP/2.

 

koester_torsten_wpTorsten Köster ist CTO der Shopping24 GmbH und verantwortet dort Entwicklung und Betrieb der hauseigenen Produktsuchen. Aktuell beschäftigt er sich mit innovativen, schlanken Technologien rund um Suche und Event-Stream-Processing.
Geschrieben von
Melanie Feldmann
Melanie Feldmann
Melanie Feldmann ist seit 2015 Redakteurin beim Java Magazin und JAXenter. Sie hat Technikjournalismus an der Hochschule Bonn-Rhein-Sieg studiert. Ihre Themenschwerpunkte sind IoT und Industrie 4.0.
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu: