Informationen zum HSTS Rollout für *.tum.de

Aktuelles

  • Januar 2023: HSTS mit Preloading für tum.de ist aktiv
  • Februar 2023: HSTS mit Preloading für tu-muenchen.de ist aktiv
  • Dezember 2023: HSTS mit Preloading für tum.edu und mytum.de in Vorbereitung

Was bewirkt HSTS?

HSTS bewirkt, dass moderne Browser Websites unter der Domain *.tum.de nur noch korrekt verschlüsselt (via https://) aufrufen werden. Websites ohne Verschlüsselung oder mit nicht vertrauenswürdiger Verschlüsselung wird der Browser nicht mehr aufrufen. Websites, die unverschlüsselt und verschlüsselt erreichbar sind, wird der Browser automatisch verschlüsselt aufrufen. Siehe https://de.wikipedia.org/wiki/HTTP_Strict_Transport_Security

HSTS wird durch den Betreiber der Website gesetzt, Besucher der Website müssen nichts unternehmen und bekommen davon auch nichts mit.

Was bedeutet das für mich als Nutzer?

Als Nutzer von Web-Anwendungen der TUM werden Sie diese Umstellung vermutlich kaum bemerken. Alle gängigen Webseiten der TUM bieten längst einen verschlüsselten Zugriff an und sind daher nicht betroffen. Sollten Sie dennoch über eine unverschlüsselte Seite unter *.tum.de stolpern, welche sich dann nicht mehr aufrufen lässt, melden Sie dies bitte an it-sicherheit@tum.de .

Wie es aussieht wenn Sie eine Website aufrufen die durch HSTS geschützt ist aber keine korrekte Verschlüsselung unterstützt, sehen Sie beispielsweise hier:

https://subdomain.preloaded-hsts.badssl.com/ 

Was bedeutet das für mich als Betreiber eines Web-Dienstes?

Als Betreiber von Diensten unter *.tum.de, die über Browser abgerufen werden, stellen Sie bitte sicher, dass Sie Ihren Dienst über https:// mit gültigem Zertifikat verfügbar machen. Für Dienste, wo dies nicht machbar/tragbar ist, finden Sie weiter unten weitere Optionen. Falls Sie ein Zertifikat benötigen finden Sie hier weitere Infos: https://wiki.tum.de/x/8QWJRg

Die Aktivierung von HSTS für *.tum.de können Sie selbst nicht beeinflussen und Sie müssen hierzu auch nichts unternehmen. Davon unabhängig können Sie HSTS selbstverständlich schon vorher selbst für Ihre eigene Subdomain aktivieren. 

Wann ist es soweit?

HSTS wird in Ihrem Browser aktiviert wenn Sie nach dem 10. August 2022 eine der vielen TUM Typo3 Websites, www.tum.de oder login.tum.de aufrufen.

Seit Januar 2023 wird *.tum.de über die Preloading-Listen der gängigen Browser ausgerollt. Bei Verwendung eines aktuellen Browsers ist HSTS daher jetzt immer aktiv, ohne dass tum.de zuvor besucht werden muss.

Kann ich das jetzt schon testen?

Ja. Sie können unter http://www.devapp.it.tum.de/hsts-test/ HSTS für *.tum.de für sich ab sofort aktivieren (und auch deaktivieren). Wenn Sie das hier lesen sollten Sie dies auch tun - Sie haben nichts davon bis zum offiziellen Stichtag zu warten (Zwinkern)

Wie ist der genaue Zeitplan?

  • Mitte Juni: Vorbereitung der technischen Umsetzung und Teststellung
  • 28. Juli: Kommunikation über IT-Newsletter und ggf. weitere Medien
  • 10. August: Produktivschaltung (mit Möglichkeit zur zentralen Abschaltung)
  • Herbst: Verstetigung der Konfiguration mittels HSTS preloading

Technische Umsetzung (nur für technisch interessierte / Betreiber relevant)

Durch den Betreiber der Website www.tum.de werden drei Endpunkte bereitgestellt:

https://tum.de/hsts/default 
https://tum.de/hsts/enable 
https://tum.de/hsts/disable

Produktiver HSTS Endpunkt (default)

Der Produktive Endpunkt liefert eine möglichst kleine Ressource (gif/png, transparent) mit entsprechendem Content-Type und Caching-Header für eine halbe Stunde aus.

Ab Produktivschaltung wird zusätzlich folgender Header ausgeliefert um die Einstellung scharf zu schalten:

Strict-Transport-Security: max-age=604800; includeSubDomains

Über die darauffolgenden Wochen wir der Zeitraum (max-age) Schritt für Schritt vergrößert.

Test HSTS Endpunkte (enable/disable)

Auch die Test-Endpunkte liefern analog eine möglichst kleine Ressource (gif/png, transparent) mit entsprechendem Content-Type und Caching-Header für eine halbe Stunde aus.

Zusätzlich liefert:
https://tum.de/hsts/enable den Header Strict-Transport-Security: max-age=31536000; includeSubDomains
https://tum.de/hsts/disable den Header Strict-Transport-Security: max-age=0; includeSubDomains

Einbinden des HSTS Endpunktes durch weitere Websites der TUM

Damit Browser die HSTS Einstellung übernehmen, müssen Browser den Endpunkt https://tum.de/hsts/default mindestens einmal abrufen. Hierzu ist es nötig, den Endpunkt z.B. als Image-Tag auf großen/häufig besuchten Websites der TUM einzubinden. Hierzu gehören z.B. www.tum.de selbst, sowie alle zentral verwalteten Typo3 instanzen. Die Einbindung des Tags kann und sollte asap erfolgen.

<img src="https://tum.de/hsts/default" height="1" width="1" />

Andere Einbindungsmöglichkeiten (CSS, prefetch) sind ebenso möglich.

Verstetigung

Nach einer positiven Einführungsphase wird die Einstellung verstetigt. Hierzu setzt tum.de unter https://tum.de/ folgenden Header Strict-Transport-Security: max-age=63072000; includeSubDomains; preload und die Domain wird offiziell unter https://hstspreload.org/ registriert. Anschließend können die HSTS-Pixel auf den Websites der TUM und die Test-Endpoints wieder entfernt werden.

Was ist mit tum.edu, tu-muenchen.de, mytum.de?

Dies ist noch in Diskussion. Prinzipiell soll HSTS auch für diese Domains angestrebt werden (sie sind also keine Alternativen), dies wird aber möglicherweise nicht zeitgleich umgesetzt. 

Mögliche Probleme

Unter tum.de unverschlüsselt gehostete Websites sind danach in Browsern die HSTS unterstützen nicht mehr aufrufbar. Für normale Webauftritte sollte dies nie ein Problem sein.

Problematisch kann dies z.B. bei Konfigurations-Oberflächen von IoT Geräten sein, z.B. Multifunktionsdruckern oder Routern, sofern diese über einen *.tum.de Hostname aufgerufen werden. Die Lösung ist hier schlichtweg den Aufruf über die IP Adresse oder ein anderes (zu erstellendes) DNS Alias ausserhalb tum.de durchzuführen.

Auch Geräte wie Infomonitore die möglicherweise Browser und Webinhalte verwenden um Inhalte anzuzeigen, könnten betroffen sein sofern die Inhalte unverschlüsselt über tum.de Hostnamen angeboten werden. Wobei in diesem Fall auch häufig Browser zum Einsatz kommen die HSTS Preload nicht unterstützen. Hier müssten die Inhalte entweder verschlüsselt angeboten werden oder auf einen anderen Hostname gewechselt werden.

Prinzipiell sind keine Probleme bekannt für die keine simple Lösung existieren würde.

Die Vorteile von HSTS überwiegen definitiv die möglichen Komplikationen.

Ich bin Admin, ich möchte die HSTS Warnung ignorieren

Sie können dies wie folgt erreichen: SW4gQ2hyb21lIGJhc2llcnRlbiBCcm93c2VybiBr 9m5uZW4gU2llIGVpbmZhY2ggInRoaXNpc3Vuc2Fm ZSIgYXVmIGRlciBUYXN0YXR1ciBlaW50aXBwZW4g d+RocmVuZCBkaWUgSFNUUyBXYXJudW5nIGFuZ2V6 ZWlndCB3aXJkLiBHRUJFTiBTSUUgRElFU0UgSU5G T1JNQVRJT04gQVVGIEtFSU5FTiBGQUxMIE5VVFpF Uk4gV0VJVEVSIQ==


  • Keine Stichwörter