Was müssen Nutzer über die Umstellung auf "Nur HTTPS" und die möglichen Auswirkungen auf ArcGIS wissen?

Antwort

Hinweis: Dieses Dokument unterliegt ständiger Veränderung. Sobald wir diese Änderung bereitstellen, werden die Informationen auf dieser Seite entsprechend aktualisiert.

Was ist HTTPS?

HTTPS (Hypertext Transfer Protocol Secure, sicheres Hypertext-Übertragungsprotokoll) ermöglicht eine sichere Datenübertragung zwischen einem Client, z. B. einem Webbrowser, und dem Server. Bei der Verwendung von HTTPS in Verbindung mit HTTP/2 kann eine verbesserte Performance erzielt werden. Mit HTTP/2 wurde das HTTP-Protokoll umfassend überarbeitet. Mit HTTPS verbessert sich außerdem das Ranking bei Suchanfragen; deshalb sollte bei kritischen Anwendungen HTTPS verwendet werden. Da alle Daten verschlüsselt werden, ist die Sicherheit gewährleistet. Selbst bei einer Überwachung des Netzwerkdatenverkehrs können keine vertraulichen Daten abgegriffen werden. Mit der Erzwingung von HTTPS mit HSTS soll die Sicherheit von ArcGIS weiter erhöht werden.

Was ist HSTS?

HTTP Strict Transport Security (HSTS) ist eine Web-Sicherheitstechnologie, die HTTPS-Webserver vor Downgrade-Angriffen schützt. Downgrade-Angriffe (auch als SSL Stripping bezeichnet) sind Man-in-the-Middle-Angriffe, bei denen ein Angreifer den Webbrowser von einem ordnungsgemäß konfigurierten HTTPS-Webserver an einen böswilligen Server umleitet.
 

Inwiefern ist ArcGIS betroffen?

Esri hat stufenweise Änderungen vorgenommen.Esri Kunden müssen handeln, um diesen Änderungen Rechnung zu tragen.

• Zuvor hat ArcGIS Online sowohl HTTP als auch HTTPS unterstüzt. Mit der Aktualisierung vom 8. Dezember 2020 wurde "Nur HTTPS" voreingestellt und Kunden können diese Einstellung nicht mehr deaktivieren. Mit ArcGIS Enterprise können die Kunden auch weiterhin selbst entscheiden, ob HTTPS/HSTS verwendet werden soll.
• ArcGIS Hub wurde aktualisiert, sodass seit dem 8. September 2020 der Nur-HTTPS-Standard auf allen Sites und Seiten verwendet werden muss.
• Esri hat die Umstellung auf "Nur HTTPS" im World Geocoding Service am 29. September 2020 vorgenommen. Dieses wichtige Sicherheitsupdate wirkt sich ggf. auf ArcGIS-Software- und benutzerdefinierte Lösungen aus.

Bin auch ich von der Umstellung auf "Nur HTTPS" betroffen?

Sie sind nur dann von dieser Umstellung auf "Nur HTTPS" betroffen, wenn eines der nachfolgenden Szenarien bzw. einer dieser Workflows für Ihre Organisation zutreffend ist:

1. Auf Kundenelemente, die mithilfe von Nur-HTTP-URLs zu ArcGIS Online hinzugefügt wurden, kann nicht mehr zugegriffen werden. Hierzu gehören alle Elemente, die zu ArcGIS Online hinzugefügt wurden und vom lokalen ArcGIS Enterprise-Server des Kunden gehostet werden. Neue Elemente werden nicht mehr über HTTP hinzugefügt.
2. Kunden mit Kartendokumenten oder -paketen (. mxd oder. aprx), die ArcGIS Online-Layer enthalten, welche über Nur-Text (HTTP) hinzufügt wurden, müssen die Verweise auf diese Layer aktualisieren.
3. Python-Skripte zur Administration oder Sicherung von Daten in ArcGIS Online, in denen HTTP-URL-Referenzen verwendet werden, funktionieren nicht mehr. Die Skripte müssen mit HTTPS-URLs aktualisiert werden.
4. Auf Elemente, die ArcGIS Online über externe Links mit Nur-HTTP-URLs hinzugefügt werden, kann nicht über einen Browser zugegriffen werden, da ein Problem mit gemischten Inhalten besteht. Dazu gehören:
   1. Links in den Elementdetails
   2. Pop-ups usw.
5. Web-Services, die über den ArcGIS Online-Freigabeproxy referenziert werden, sind nicht betroffen.
   Für welche Elemente kann der ArcGIS Online-Freigabeproxy verwendet werden?
   • Hinzufügen von gesicherten Layern oder Services zu ArcGIS Online über eine ArcGIS Enterprise-Konfiguration mithilfe von gespeicherten Anmeldeinformationen oder Zugreifen auf diese Layer oder Services
   • Zugriff auf domänenübergreifende Ressourcen (z. B. Server, die CORS nicht unterstützen, üblicherweise OGC-Server von Drittanbietern)
   • Service-Abfragen mit einer HTTP GET-Anweisung von mehr als 2.048 Zeichen

Welche Maßnahmen sind nun notwendig?

Wenn Ihre Organisation betroffen ist, müssen Sie handeln, um auch weiterhin auf Ihre Inhalte zugreifen zu können. Dies gilt beispielsweise, wenn Ihre ArcGIS Online-Subskription vor September 2018 eingerichtet wurde UND in Ihrer Subskription noch sowohl HTTP als auch HTTPS zulässig sind. Im Folgenden finden Sie Informationen zu den notwendigen Maßnahmen vor der Umstellung auf "Nur HTTPS", um einen unterbrechungsfreien Zugriff zu gewährleisten.

1. Alle Kunden sollten die Einstellungen ihrer Organisation prüfen, um sicherzustellen, dass "Nur HTTPS" aktiviert ist. Wenn die Option zum Umschalten zwischen "Nur HTTPS" und "HTTP/HTTPS" nicht angezeigt wird, ist für Ihre Subskription bereits HTTPS erforderlich.
2. Alle Kunden sollten alle Elemente in Ihrer Organisation aktualisieren, die nur HTTP unterstützen.

Welche Werkzeuge stehen für den Kunden zur Verfügung?

• Native Werkzeuge: Diese Werkzeuge sind in ArcGIS Online bzw. Enterprise integriert.

1. Verwenden Sie die in jeder Webkarte verfügbaren Optionen für Layer-Einstellungen, um die Layer-Referenzen wie in der folgenden Abbildung auf HTTPS zu aktualisieren.

Wenn Sie Layer auf HTTPS aktualisieren auswählen, überprüft das Werkzeug, ob auf die für die Webkarte verwendeten Layer über HTTPS zugegriffen werden kann. Ist dies der Fall, wird die Referenzierung entsprechend aktualisiert.

Nachdem Layer aktualisieren ausgewählt wurde, wird eine Liste der referenzierten Layer erstellt. Dabei werden Layer markiert, die nicht auf HTTPS aktualisiert werden können, wie im nachfolgenden Screenshot dargestellt:

2. Mit dem Werkzeug ArcGIS-Server-Site-Referenzen aktualisieren kann der FQDN des GIS-Servers geändert werden. Es kann jedoch auch verwendet werden, um alle Referenzen auf den FQDN des Stammverzeichnisses auf HTTPS auf einmal zu aktualisieren. Dieses Werkzeug überprüft auch, ob der Remote-Server HTTPS unterstützt.

Hinweis: Esri empfiehlt dringend, vor dieser Änderung zu überprüfen, ob der Remote-Server HTTPS unterstützt.

• Nicht-native Werkzeuge: Diese Werkzeuge werden vom Software Security and Privacy Team von Esri zur Verfügung gestellt, um Kunden bei der Administration und Validierung der ArcGIS-Organisation zu unterstützen.

1. ArcGIS Security Advisor ist ein natives Werkzeug. Es wurde vom Esri Team für Softwaresicherheit und Datenschutz entwickelt, um Ihnen Hilfestellung bei ArcGIS-Sicherheitseinstellungen und beim Überprüfen Ihrer Protokolle zu bieten:

• Dieses Werkzeug kann sowohl in ArcGIS Online als auch in ArcGIS Enterprise (Portal for ArcGIS) verwendet werden. Hinweis: Für die HTTP-Prüfung in diesem Werkzeug benötigen Benutzer bei vielen Elementen in Ihrer Organisation keine Administrator-Anmeldeinformationen.

In welchem Umfang besteht Support für die bereitgestellten Werkzeuge?

Für ArcGIS Security Advisor wird von Esri Support Services kein Support geleistet. Es wird daher dringend empfohlen, bei der Suche und Aktualisierung von HTTP-Referenzierungen die Informationen in der Hilfe zu Rate zu ziehen. Esri Support Services leitet Informationen zu Bugs und Verbesserungen an Werkzeugen an das Team für Softwaresicherheit weiter.

Für native ArcGIS Online-Werkzeuge leistet Esri Support Services vollumfänglichen Support.

Werden durch die Option "Zugriff auf die Organisation nur über HTTPS zulassen" in ArcGIS Online-Einstellungen alle vorhandenen Layer in ArcGIS Online auf HTTPS umgestellt? Oder müssen die Layer manuell aktualisiert werden?

Die Layer müssen manuell aktualisiert werden. Informationen hierzu finden Sie unter <Dokument>:

Wird es Patches für ArcGIS Enterprise, ArcGIS Server oder Portal for ArcGIS geben, um Elemente auf HTTPS umzustellen?

Nein. Bitte nutzen Sie die zur Verfügung gestellten Werkzeuge, um betroffene Elemente in Ihrer Enterprise-Konfiguration zu ermitteln und zu aktualisieren. Beachten Sie auch die nachfolgend aufgeführten Informationen für die Aktualisierung von Layern in Webkarten auf HTTPS.
 

Weitere Ressourcen:

Wir empfehlen unseren Kunden, die Referenzen im Abschnitt "Referenzinformationen" als zusätzliche Quellen beim Aktualisieren von HTTP-Inhalten auf HTTPS zu nutzen: