Firefox bekommt auch HSTS-Preloading-Liste

Google hat in Chrome mit Version 13 eine HSTS-Preloadinging-Liste eingeführt. Diese besteht aus einer in der Binary hinterlegten Liste von Domains, die vom Browser ausschließlich über HTTPS angesprochen werden dürfen. Mozillas Firefox übernimmt dieses Feature nun in Version 17 und verwendet dazu auch die vom Chromium-Project gepflegte Liste. Besagte Version befindet sich aktuell im Beta-Stadium.

Die HSTS-Preloading-Listen setzen an einer prinzipiellen Schwachstelle des Strict-Transport-Security-Headers als Schutz gegen SSL-Stripping an: dem ersten Besuch der Seite. Hat ein Benutzer eine Website mit einem Browser noch nie besucht (z.B. auf Grund einer Neuinstallation oder weil ein neues Gerät verwendet wird) oder ist die Dauer des Schutzes vom vorherigen Besuch bereits abgelaufen, so ist der HSTS-Eintrag im Browser noch nicht bzw. nicht mehr vorhanden. Besucht er nun eine Seite über ein unsicheres Netz, kann ein Man-in-the-Middle den HSTS-Header in der ersten Response des Servers entfernen und einen SSL-Stripping-Angriff ausführen. Ist die jeweilige Domain jedoch schon in der HSTS-Preloading-Liste aufgeführt, weiß der Browser auch vor dem ersten Besuch schon, dass diese Seite per HTTPS angesprochen werden muss.

Als Mindestwert für den max-age-Paramter hat Mozilla 10.886.400 Sekunden gewählt. Dies entspricht 18 Wochen und liegt damit unter dem Mindestwert von einem Jahr, den wir im Whitepaper zum Thema empfehlen. Dieser Wert ist allerdings trotzdem deutlich restriktiver als der für die HSTS-Preloding-Liste in Chrome gewählte; dort sind auch Domains mit deutlich geringeren Werten enthalten. Die Umsetzung der HSTS-Preloading-Liste in Firefox ist erfreulich und hat für die Serverbetreiber keine negativen Effekte.