Wichtige Aktualisierungen für die ArcGIS Plattform und Umstellung auf “Nur HTTPS”.
Esri plant die Umstellung auf “Nur HTTPS” in ArcGIS Online sowie auf HSTS zu einem späteren Zeitpunkt. Dieses wichtige Sicherheitsupdate wirkt sich ggf. auf ArcGIS-Software- und benutzerdefinierte Lösungen aus. Esri Kunden sollten bereits jetzt handeln, um für diese Änderung am 8. Dezember 2020 gerüstet zu sein.
In der ArcGIS Plattform ist das HTTPS-Protokoll eine entscheidende Sicherheitskomponente für Web- und Service-API-Verbindungen. Dazu gehören auch Verbindungen zwischen verschiedenen Esri Softwareprodukten, z.B. zwischen ArcGIS Desktop bzw. ArcGIS Enterprise und ArcGIS Online.
“Nur HTTPS” ist bereits seit September 2018 die standardmäßige Konfigurationseinstellung in ArcGIS Online. Dies bedeutet, dass bei allen seit diesem Zeitpunkt eingerichteten Subskriptionen keine Möglichkeit besteht, HTTPS zu deaktivieren. Während für ArcGIS Enterprise seit Version 10.4 “HTTPS aktiviert” die Standardeinstellung war, ist nun seit Version 10.7 “Nur HTTPS” standardmäßig konfiguriert. Bei ArcGIS Enterprise haben Benutzer jedoch die Möglichkeit, diese Einstellung bei Bedarf zu ändern. Wir empfehlen aber dringend auf „Nur HTTPS“ umzusteigen, falls sie es noch nicht getan haben.
World Geocoding Service
Der World Geocoding Service wird schon im September auf HTTPS Only umgestellt. Mehr zu diesem Service: Flexible und sichere Geocodierung mit Esri’s World Geocoding-Service
Achtung – auch wer hauptsächlich mit ArcGIS Enterprise arbeitet, sollte seine Einstellungen überprüfen, wenn Dienste aus ArcGIS Online in ArcGIS Enterprise genutzt werden und andersrum.
Zusammenfassung: Sicherheit muss sein.
Tipp: Bereits jetzt auf „Nur HTTPS“ umstellen, um so Zeit zu sparen und unerwünschte Effekte auszuräumen.
Im Dezember wird „Nur HTTPS“ für alle bestehenden ArcGIS Online Subskriptionen zentral aktiviert.
Weitere Informationen
Was ist HTTPS?
HTTPS (Hypertext Transfer Protocol Secure, sicheres Hypertext-Übertragungsprotokoll) ermöglicht eine sichere Datenübertragung zwischen einem Client, z. B. einem Webbrowser, und dem Server. Bei der Verwendung von HTTPS in Verbindung mit HTTP/2 kann eine verbesserte Performance erzielt werden. Mit HTTP/2 wurde das HTTP-Protokoll umfassend überarbeitet. Mit HTTPS verbessert sich außerdem das Ranking bei Suchanfragen; deshalb sollte bei kritischen Anwendungen HTTPS verwendet werden. Da alle Daten verschlüsselt werden, ist die Sicherheit gewährleistet. Selbst bei einer Überwachung des Netzwerkdatenverkehrs können keine vertraulichen Daten abgegriffen werden. Mit der Erzwingung von HTTPS mit HSTS wird die Sicherheit der ArcGIS Plattform weiter erhöht.
Was ist HSTS?
HSTS ist eine Web-Sicherheitstechnologie, die HTTPS-Webserver vor Downgrade-Angriffen schützt. Downgrade-Angriffe -auch als SSL-Stripping-Angriffe bezeichnet- sind eine Art Man-in-the-Middle-Angriff, bei denen ein Angreifer Webbrowser von einem korrekt konfigurierten HTTPS-Webserver auf einen bösartigen Server umleitet.
Wie wirkt sich diese Änderung auf die ArcGIS Plattform aus?
Derzeit kann in ArcGIS Online sowohl HTTP als auch HTTPS verwendet werden. Mit der für den 8.. Dezember 2020 geplanten Aktualisierung wird standardmäßig “Nur HTTPS” erzwungen. Kunden haben dann nicht mehr die Möglichkeit, diese Einstellung zu deaktivieren. Mit ArcGIS Enterprise können die Kunden auch weiterhin selbst entscheiden, ob HTTPS/HSTS verwendet werden soll.
Bin auch ich von der Umstellung auf “Nur HTTPS” betroffen?
Sie sind nur dann von dieser Umstellung auf “Nur HTTPS” betroffen, wenn eines der nachfolgenden Szenarien bzw. einer dieser Workflows für Ihre Organisation zutreffend ist:
- Auf Elemente, die nur HTTP (und nicht HTTPS) unterstützen, die als Elemente hinzugefügt wurden und nicht über ArcGIS Online freigegeben werden, kann nicht mehr zugegriffen werden. Dazu gehören alle Elemente der kundeneigenen ArcGIS Enterprise-Konfiguration.
- Kunden mit Karten oder Kartenpaketen (. mxd oder. aprx), die ArcGIS Online-Layer enthalten, welche über HTTP hinzufügt wurden, müssen die Verweise auf diese Layer aktualisieren.
- Python-Skripte zur Administration oder Sicherung von Daten in ArcGIS Online, in denen HTTP-URL-Referenzen verwendet werden, funktionieren nicht mehr. Die Skripte müssen mit HTTPS-URLs aktualisiert werden.
- Auf Elemente, die über externe Links referenziert werden, welche nur HTTP unterstützen, kann nicht über einen Browser zugegriffen werden, da ein Problem mit gemischten Inhalten besteht.
- Web-Services, die über den ArcGIS Online-Freigabeproxy referenziert werden, sind nicht betroffen. Für welche Elemente kann der ArcGIS Online-Freigabeproxy verwendet werden?
– Zugriff auf gesicherte Layer, die ArcGIS Online hinzugefügt wurden und für die die Anmeldedaten gespeichert sind
– Zugriff auf domänenübergreifende Ressourcen, z.B. Server, die CORS nicht unterstützen, üblicherweise OGC-Server von Drittanbietern
– Service-Abfragen mit einer HTTP GET-Anweisung von mehr als 2.048 Zeichen
Welche Maßnahmen sind nun notwendig?
Wenn Ihre Organisation betroffen ist, müssen Sie handeln, um auch weiterhin auf Ihre Inhalte zugreifen zu können. Dies gilt beispielsweise, wenn Ihre ArcGIS Online-Subskription vor September 2018 eingerichtet wurde UND in Ihrer Subskription noch sowohl HTTP als auch HTTPS zulässig sind. Im Folgenden finden Sie Informationen zu den notwendigen Maßnahmen vor der Umstellung auf “Nur HTTPS”, um einen unterbrechungsfreien Zugriff zu gewährleisten.
- Alle Kunden sollten die Einstellungen der Organisation prüfen und sicherstellen, dass “Nur HTTPS” aktiviert ist. Wird in Ihren Einstellungen keine Option zum Umschalten zwischen “Nur HTTPS” und “HTTP/HTTPS” angezeigt, ist Ihre Subskription bereits für HTTPS konfiguriert.
- Alle Elemente, für die “Nur HTTP” festgelegt ist, müssen aktualisiert werden.
Welche Werkzeuge stehen zur Verfügung?
Native Werkzeuge
- Aktualisieren Sie in den Elementdetails der jeweiligen Webkarte unter “Layer-Einstellungen” die Layer-Referenzen auf HTTPS. Siehe nachfolgender Screenshot:
Bei Auswahl von “Layer auf HTTPS aktualisieren” wird für alle Layer in der Webkarte geprüft, ob per HTTPS darauf zugegriffen werden kann. Ist dies der Fall, wird die Referenzierung entsprechend aktualisiert.
Nachdem “Layer aktualisieren” ausgewählt wurde, wird eine Liste der referenzierten Layer erstellt. Dabei werden Layer markiert, die nicht auf HTTPS aktualisiert werden können, wie im nachfolgenden Screenshot dargestellt:
2. Das Werkzeug “ArcGIS-Server-Site-Referenzen aktualisieren” wurde für die Änderung des vollqualifizierten Domänennamens (FQDN) eines GIS-Servers konzipiert. Es kann jedoch auch verwendet werden, um batchweise alle Referenzierungen des Root-FQDN auf HTTPS zu aktualisieren. Das Werkzeug führt keine Validierung durch, ob der Remote-Server HTTPS unterstützt. Prüfen Sie daher vor dieser Änderung, ob der Remote-Server HTTPS unterstützt.
Nicht-native Werkzeuge
Diese Werkzeuge werden vom Software Security and Privacy Team von Esri zur Verfügung gestellt, um Kunden bei der Administration und Validierung der ArcGIS-Organisation zu unterstützen.
- ArcGIS Security Advisor
Dafür sind Administratorberechtigungen in der Organisation erforderlich. Die Anwendung kann nur für ArcGIS Online genutzt werden.
Noch mehr Informationen finden Sie hier:
Important Updates for the ArcGIS Platform and HTTPS Only Enforcement
How can I update layers in my web map or web scene to use HTTPS?
How can I update layers in a web map that reference my ArcGIS Server layers?
How can I configure HTTPS on ArcGIS Server?