Windows Server 2016 bringt HTTP/2 mit

(6.3.2017) Der neue Windows Server von Microsoft wurde auf dem Markt schon vor einiger Zeit eingeführt. Über welche Vorteile der neuen Version 2016 können wir uns aus der Sicht der Sicherheit freuen? Vor allem handelt es sich um das Protokoll HTTP/2, aber für den Umstieg von Windows Server 2012 oder sogar 2008 ohne die Unterstützung von SNI gibt es auch weitere Gründe.

Vollkommene Unterstützung von SSL-Zertifikaten

Microsoft wurde sich wohl dessen bewusst, dass der Windows Server 2008 in der Unterstützung von SSL-Zertifikaten und ihrer einfachen Einsetzung nachgestanden ist. In den zwei letzten Versionen hat sich deshalb der Hersteller bemüht, dieses Versäumnis nachzuholen. Schon im Jahre 2012 wurde die Unterstützung von SSL-Zertifikaten markant verbessert. Der Windows Server 2016 hat sich dann auf die Verschlüsselung und einfache Verwaltung von SSL-Zertifikaten, die heutzutage im Zentrum des Interesses von Administratoren und Websitesverwaltern stehen, noch mehr gerichtet.

In Windows Servern 2003 und 2008 hat die Arbeit mit SSL-Zertifikaten äußerst die Tatsache kompliziert, dass zu jedem Zertifikat eine selbständige IP-Adresse zugeordnet werden musste. Zusammen mit der sinkenden Anzahl von IP-Adressen hat dies verursacht, dass die meistens gebührenpflichtigen IP-Adressen den Dienst verteuert haben. Das HTTPS-Protokoll konnte sich somit auch nicht verbreiten, denn der Serverinhaber musste immer überlegen, ob das SSL-Zertifikat überhaupt einzusetzen ist.

Diese Unannehmlichkeit hat Microsoft in der Version 2012 gelöst, die er um die Unterstützung von SNI (Server Name Indication) erweitert hat. Diese Funktion (Erweiterung des HTTP-Protokolls) ermöglichte die SSL-Zertifikate auch ohne die selbständigen IP-Adressen zu nutzen und die Webhostings konnten somit eine tatsächliche Blütezeit von HTTPS erleben. Aufgaben mit den Zertifikaten konnten die Server ebenfalls schneller lösen. Der Neue Windows Server 2016 unterstützt dann nicht nur SNI, sondern auch Central certificate store oder Wildcard Host Headers.

Unterstützung von Wildcard Host Headers bedeutet, dass der Webserver Wildcard-Zertifikate nativ unterstützt und kann automatisch und allein jede Abfrage an eine Subdomain der Hauptdomain lösen. Somit ist es nicht mehr nötig, für jede Subdomain (Host Name) ihre eigenen Sitebindungen einzustellen. Diese Funktion wird den Serververwaltern den Aufwand an Mühe und Zeit bei der Einsetzung von Wildcard Zertifikaten ersparen.

Erwähnenswert ist auch die Ergänzung zweier Codier-Suiten – TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 und TLS_ECDHE-RSA-WITH_AES_256-GCM-SHA384 - die erste von ihnen ist von dem Browser Chrome höchst präferiert und beide werden häufig auf Apache Servern genutzt.

Ihr Server kann endlich über HTTP/2 laufen

Die wichtigste Neuheuit von Windows Server 2016, auf die sich alle Verwalter gefreut haben und die auch mit der verbesserten Verwaltung von SSL-Zertifikaten zusammenhängt, ist die Untertützung des Protokoll HTTP/2. Der neue Windows Server unterstützt in dem neuen Webserver IIS 10 das Protokoll HTTP/2 nativ und Besucher Ihrer Websites werden somit von einer konkurrenzlosen Geschwindigkeit bei der Abfrage und abgesicherten und verschlüsselten Verbindung profitieren können. Falls Sie die Geschwindigkeit  zwischen HTTP/2 und  HTTP 1.1. noch nicht verglichen haben, empfehlen wir Ihnen diesen praktischen Browser-Test.

Nach welchen Prinzipen funktioniert HTTP/2?

Bei einem komplexen Web stellt ein Besucher mehrere von HTTP-Verbindungen zu verschiedenen Quellen her. In der ursprünglichen Version HTTP 1.0 musste sich der Browser zum Server immer wieder an- und abmelden; das Prinzip entsprach also der gewählten Verbindung zum Internet. Bei dem nachgekommenen Protokoll, HTTP 1.1., das wir bis heute verwenden, meldet sich der Browser nicht mehr ab, sondert wartet auf das Abschließen der aktuellen Abfrage, bevor er eine weitere stellt. Dies führt zu einer großen Anzahl von parallelen Verbindungen zum Server.

Der Hauptvorteil von HTTP/2 besteht dann in einer besseren Bearbeitung von Verbindungen und in der binären Datenübertragung. Der Nachfolger von HTTP 1.1. kann zwischen dem Browser und dem Server eine TCP Verbindung herstellen – dies stellt eigentlich eine Rückkehr zu dem Gedanken von HTTP 1.0 dar. In diesem Strom werden die Daten unabhängig von der vorherigen Antwort (wegen einer nicht abgeschlossenen Abfrage werden die weiteren nicht verspätet) und binär anstatt von dem ursprünglichen Textformat abgesendet. Im Endeffekt bedeutet dies ein mehrfach schnelles Abrufen von Websites und einen besseren Zugang zu Quellen des Servers. Davon können Sie sich in dem oben erwähnten Test überzeugen.

Obwohl es nicht direkt von der Definition von HTTP/2 ausgeht, werden alle Browser HTTP/2 nur verschlüsselt verwenden. Ein SSL-Zertifikat wird somit von dem Protokoll eigentlich erfordert. Auch aus diesem Grund gibt es kostenlose Zertifikate wie BasicDV, die das HTTP-Protokoll ersetzen sollen. Für Webprojekte, die eine höhere Vertrauenswürdigkeit und Authentifizierung benötigen, sind kommerzielle Zertifikate aus dem Angebot von SSLmarket.de bestimmt.

HTTP/2 wird auch von Browsern bevorzugt

In vieler Hinsicht sind Browser für die Sicherheit ihrer Nutzer verantwortlich und deshalb ist es kein Zufall, dass die Browserhersteller mit den Zertifizierungsstellen zusammenarbeiten und sich für die Verbreitung von Verschlüsselung einsetzen. Vertretung von Google, Apple, Mozilla und Microsoft in dem CAB Forum bestätigt die enge Kooperation.

Browser müssen aktuellen Empfehlungen der kryptografischen Experten folgen und nur solche Technologien nutzen, die sicher genug sind. Die Ansprüche werden wegen der Alterung der genutzten Methoden mehr oder weniger regelmäßig erhöht. Unsere Leser können sich an den Umstieg von 1024bit Schlüsseln auf 2048bit oder an den Abschied von dem SHA-1 Algorithmus bestimmt noch erinnern.

In ihren Produkten müssen die Hersteller oft nach einem Gleichgewicht zwischen dem Niveau der Sicherheit und Benutzerfreundlichkeit suchen. Glücklicherweise bemühen sich die Browser aber, den Nutzern die Arbeit mit den Zertifikaten zu vereinfachen – wie z.B. der neue Januar-Chrome mit den drei neuen Sicherheitsindikatoren. Chrome kann die Nutzer ebenfalls auf ein nicht abgesichertes Formular aufmerksam machen, das Passwörter oder Zahlungsangaben nicht verschlüsselt über HTTP absendet. Diese Funktion wird in Kürze auch Firefox unterstützen. Da sowohl Chrome als auch Firefox zu einer maximalen Einschränkung von HTTP neigen, ist es zu erwarten, dass es diesen Browsern während des Jahres 2017 zu einer Pönalisierung von nicht verschlüsselten Webs kommt und dass bei einem Web ohne ein Zertifikat nur ein rotes HTTP angezeigt wird.

Mit VPN können Sie auf Windows 2016 und HTTP/2 noch heute umstellen

Auf unserem virtuellen Webservern bieten wir Ihnen die aktuellste Version von Windows bereits an. Zögern Sie nicht und leiten Sie Ihre Dienste zu uns um.

Quellen und mehr Informationen

Windows Server 2016 bringt neben HTTP/2 natürlich auch weitere technische Neuheiten mit, z.B. im Zusammenhang mit Hyper-V, Storage oder Netzwerken. Da wir uns in unserem Magazin vor allem den SSL-Zertifikaten und Internetsicherheit widmen, finden Sie zu diesen und anderen Funktionen mehr Informationen in den folgenden Artikeln.

1. New features in IIS 10. Aufrufbar unter peter.hahndorf.eu
2. What's New in Windows Server 2016. Aufrufbar auf dem Web von Microsoft
3. First look at Windows Server 2016: 'Cloud for the masses'? TheRegister
4. The essential guide to Microsoft Windows Server 2016. Techtarget
5. Google Security Blog - Moving towards a more secure web