HTTPS ist mittlerweile fast überall verfügbar. Was ist mit IPv6?

Let‘s Encrypt wurde am 12. April 2016 mit der Absicht gestartet, Websites dabei zu unterstützen und zu ermutigen, HTTPS überall zu aktivieren (manchmal auch als „SSL überall“ bezeichnet, obwohl sich das Web zunehmend in Richtung TLS als bevorzugtes Protokoll bewegt). Ende Februar 2017 schätzte die EFF (Initiator der Initiative), dass mittlerweile die Hälfte des Internets verschlüsselt sei . Nun ist sicherlich nicht alles davon der EFF und Let’s Encrypt zuzuschreiben. Schließlich verfüge ich über Daten aus der Zeit lange vor diesem Datum, die darauf hinweisen, dass eine Mehrheit (im Bereich von 70 %) der F5-Kunden HTTPS bei clientseitigen Diensten aktiviert hat. Es ist also offensichtlich, dass es schon HTTPS-Befürworter gab, bevor die EFF ihre Bemühungen startete. Angesichts der beträchtlichen Anzahl von Zertifikaten*, die sie ausgestellt hat, waren die Bemühungen jedoch nicht ohne messbaren Erfolg.

Am 11. September 2006 ratifizierte ICANN eine globale Richtlinie für die Zuweisung von IPv6-Adressen durch die Internet Assigned Numbers Authority (IANA). Obwohl der Standard selbst bereits vor vielen Jahren (etwa einem Jahrzehnt) ratifiziert wurde, war er ohne eine Richtlinie für die Zuweisung dieser Adressen nicht wirklich bedeutsam. Ab 2006 meinten wir es jedoch ernst mit der Umstellung auf IPv6. Schließlich wuchs das Internet, die Verbreitung mobiler Geräte explodierte und die Zahl der verfügbaren IPv4-Adressen nahm rapide ab.

Wir brauchten IPv6, wenn nicht wegen der erhöhten Sicherheit, dann wegen des erweiterten Adressraums, der es uns ermöglichen würde, Milliarden verbundener Geräte und Dinge zu unterstützen.

Und dennoch ist die Akzeptanzrate miserabel. Bedenken Sie, dass „die Cloud“ in einer Zeit geboren wurde, als IPv6 verfügbar war. Und dennoch dauerte es bis Ende 2016, bis Amazon AWS und Microsoft Azure IPv6 in ihren Cloud-Angeboten für Compute-Instanzen aktivierten.  

Dies hat einige zu der Klage veranlasst: Wenn wir HTTPS in so kurzer Zeit fast überall implementieren konnten, warum ist dann immer noch ein so geringer Prozentsatz an Websites vorhanden, die IPv6 unterstützen? Google schätzt , dass 16,06 % der Benutzer IPv6-fähig sind (was im Vergleich zur Unterstützung der Dienstanbieter laut „World IPv6 Launch “ interessant ist), aber nur 10 % der Websites ( laut W3C Techs ) unterstützen es.

Ehrlich gesagt war HTTPS nichts Neues. Die EFF hat die Leute lediglich ermutigt und bestärkt, das zu nutzen, was ihnen bereits zur Verfügung steht. HTTPS wird gut unterstützt, ist gut verstanden und gründlich durchdacht. Daher wäre es vielleicht fairer, es mit einem neueren Standard zu vergleichen, der ähnliche Nachteile aufweist, etwa die Inkompatibilität mit früheren Standards, etwa HTTP/2.

Bereits im Mai 2015 wurde eine neue Version eines bewährten Webstandards ratifiziert: HTTP/2 . Wie IPv6 ist es mit früheren Versionen inkompatibel. Anders als bei „SSL Everywhere“ müssen Sie für die Unterstützung von IPv6 oder HTTP/2 nicht einfach ein Zertifikat erwerben und HTTPS auf Ihren Webservern oder Ihrer Infrastruktur aktivieren. Es stimmt zwar, dass die Umstellung von HTTP auf HTTPS zu Störungen führen kann und Ihre Netzwerkinfrastruktur beeinträchtigen kann, aber die Störungen sind nicht so stark wie bei IPv6 oder HTTP/2.

Die Umstellung auf neue grundlegende Protokolle erfordert einen Übergangsansatz; einen, der bis zu einem späteren Zeitpunkt die gleichzeitige Unterstützung sowohl der alten als auch der neuen Protokolle erfordert. Das bedeutet „Dual-Stacks“ für jedes Gerät, durch das Datenverkehr fließen könnte. Für manche Organisationen ist dies eine Herkulesaufgabe, für andere ein architektonischer Albtraum. So wie Software technische Schulden verursacht, verursachen Netzwerke architektonische Schulden und es ist wahrscheinlich so, dass die „Zinszahlungen“ auf diese architektonischen Schulden es schwierig machen, eine stichhaltige Begründung für die Einführung von IPv6 zu liefern. Schließlich ist es keine Voraussetzung oder so etwas. Ihr Geschäft läuft weiter, auch wenn Sie IPv6 nicht unterstützen.

Oder wird es das?

Bedenken wir, dass HTTP/2 ursprünglich TLS/SSL erfordern sollte. Es gab einiges Murren und schließlich wurde es optional gemacht. Die Browser-Entwickler ignorierten dies munter und stellten nur Unterstützung für HTTP/2 über TLS/SSL bereit, womit sie diese Anforderung praktisch jedem aufzwangen. Ende 2015 begann Google, HTTPS-fähige Websites in Suchrankings zu priorisieren. Und im Jahr 2016 unternahm Apple ähnliche Schritte und verlangte, dass alle nativen Apps App Transport Security verwenden, was wiederum den Wechsel zu HTTPS erzwang.

Grundsätzlich wurde HTTPS von der Clientseite zur Unterstützung gezwungen.

Für IPv6 gibt es derzeit keine ähnliche Anforderung. Wir alle haben miterlebt, wie die IPv4-Adressen verschwanden, aber die Auswirkungen waren relativ gering oder gar nicht vorhanden. Daher verspürt (noch) niemand einen echten Anreiz, einen Schritt zu unternehmen, der möglicherweise zu Umbrüchen und hohen Kosten führen könnte. Doch wenn immer mehr Dinge auf den Markt kommen, ist es durchaus möglich, dass diese irgendwann standardmäßig nur noch IPv6 unterstützen. Die Dinge haben kleine Formfaktoren und ihre Verarbeitungsleistung ist begrenzt. Im Internet der Dinge ist weniger mehr. Dies ist einer der Gründe, warum viele IoT-Geräte HTTP zugunsten von MQTT meiden; es ist kleiner, schneller und effizienter als sein schwereres Web-Cousin. Die Unterstützung von IPv4 und IPv6 ist ähnlich. Da sie inkompatibel sind, unterstützen die meisten Geräte entweder das eine oder das andere. Und irgendwann werden sie sich für eine entscheiden und alle werden sich darum reißen, diese zu unterstützen.

Selbst wenn dies nicht der Fall ist, können die heute verfügbaren IPv4-Adressen weniger als 20 % der 20 Milliarden Geräte bedienen, die laut Prognosen (Gartner) bis 2020 im Einsatz sein werden. IPv6 unterstützt weit mehr Geräte als selbst die ehrgeizigeren Vorhersagen von Cisco, die von 50 Milliarden Geräten ausgehen. Und das ist nur das IoT.

Auch die Cloud ist problematisch, da sie nicht genügend IPv4-Adressen aufkaufen kann, um ihren wachsenden Kundenstamm zu bedienen. Wenn IaaS wie prognostiziert wachsen soll, müssen Cloud-Anbieter auf IPv6 umsteigen. Dies ist zweifellos einer der Gründe für den entsprechenden Schritt von Amazon und Microsoft.

Das alles bedeutet, dass es irgendwann eine Zwangsfunktion geben wird , die IPv6-Unterstützung erfordert. Es kann das IoT oder die Cloud selbst sein. Die vereinte Kraft beider könnte möglicherweise eine explosionsartig umwälzende Wirkung auf Ihr Unternehmen haben. So oder so, irgendwann müssen wir einen Übergang schaffen, und es ist immer am besten, wenn man dabei nicht unter Druck gesetzt wird. Wir hatten viel Zeit, die Probleme mit IPv6 zu lösen, und heute gibt es auf dem Markt mehr als genug Lösungen, die den Dual-Stack-Ansatz unterstützen und so den Übergang in Gang bringen. Falls Sie dies also noch nicht getan haben, ist es an der Zeit, die Aktivierung von IPv6 ernsthaft in Erwägung zu ziehen, bevor die Anforderungen Ihres Unternehmens an weiteres Wachstum Sie dazu zwingen.

* Ja, wir könnten uns auf die Anzahl der scheinbar gefälschten Zertifikate einlassen und darauf, dass es ein hohes Risiko birgt, diese einfach wie Süßigkeiten zu verteilen, aber das ist ein anderes Thema für einen anderen Tag.