Warum SSL/TLS wichtig ist 1


Eigentlich ist dies eher eine Erklärung, was der Unterschied zwischen HTTP und HTTPs ist 🙂

Das HTTP-Protokoll

Sicherlich war jeder schon mal auf einer Website; und wenn nicht, spätestens, um diesen Artikel zu lesen. Man gibt die Internetadresse ein, der Browser sendet eine Anfrage an den Server, der Server antwortet, der Browser macht irgendwas mit dieser Antwort.
Eine Anfrage sieht zum Beispiel so aus:

POST / HTTP/1.1
Host: tionsys.de
Accept: */*
Content-Type: text/html
Content-Length: 33

username=tionsys&password=example

Ganz oben stehen die „Header“, also die Kopfdaten. Dann folgen ein paar weitere Informationen, in diesem Fall, dass der Benutzer sich gerne mit dem Benutzernamen „tionsys“ und dem Passwort „example“ einloggen möchte. Der Server sendet dann eine Antwort, die ähnlich aufgebaut ist und die Antwort zu dem Login hat.

Thema Datenschutz

Von diesen Anfragen bekommt der Normalbenutzer i.d.R. nichts mit. Aber der Browser, alle Router und der Endserver können diese Nachricht lesen und interpretieren, was für statische Seiten, die keine Logindaten nutzen, letztenendes egal ist (vom Aspekt der Datensicherheit mal abgesehen, die Router wissen dann trotzdem, das man auf Website xyz war), für wichtige, private und/oder persöhnliche Daten wie Bankdaten aber einen erheblichen Unterschied macht. Die Daten muss man also verschlüsseln.

Manipulieren der Daten

Was auch passieren kann, ist, dass ein Router oder ein Rechner, der sich dazwischen gesetzt hat, den Inhalt manipuliert und zum Beispiel alle Bilder mit Doges ersetzt. Auch das ist nicht kritisch. Jedoch kann man auch den Empfänger einer Überweisung verändern, den Betrag etwas höher setzen und so weiter.

HTTPs

Mit HTTPs sind alle diese Probleme Geschichte. Der Betreiber einer Website generiert zwei Passwörter, eines zum Ver-, eines zum Entschlüsseln – mehr Informationen dazu folgen bald in einer Tutorialreihe hier im Blog. Dann fragt bei einer „vertrauenswürdigen Quelle“, zum Beispiel Comodo, Thawte und so weiter an, dass diese das Passwort zum Verschlüsseln digitial signieren und bezahlt dafür ein Jahresguthaben zwischen 80€ und 1.500€. Dieses „Zertifikat“, was er bekommt, installiert er zusammen mit den anderen beiden Schlüsseln auf seinem Server; besucht nun jemand die HTTPs-Version dieser Website, schickt der Server das Passwort zum Verschlüsseln und das Zertifikat an den Besucher, der überprüft das Zertifikat und wenn er ihm vertraut, schickt er die Anfrage verschlüsselt heraus. Die Antwort wird ähnlich bis identisch zurückgegeben.
Auf diesen Weg kann niemand mitlesen und niemand etwas verändern.

Normale Zertifikate, EV und Wildcard

Diese Zertifikate fragt er für jede Internetadresse an; zum Beispiel für tionsys.de (80€), download.tionsys.de (noch mal 80€), en.tionsys.de (die dritten 80€), … – damit die Kosten nicht zu groß werden, gibt es Wildcard-Zertifikate, die alles unter „tionsys.de“ decken. Man hat also ein Zertifikat für tionsys.de, en.tionsys.de, download.tionsys.de und a.tionsys.de für einen minimal höhren Preis (~600€ pro Jahr).
Doch das ist nicht genug der Zertifikatpalette, es gibt auch noch EV Zertifikate, bei denen der Betreiber genau unter die Lupe genommen wird. Wo bei normalen Zertifikaten nur ein grünes Schloss vor der Adresse steht, steht bei EV-Zertifikaten („Extended Validation“) der Name des Betreibers und per Klick darauf bekommt man mehr Informationen. Da beginnen dann die enormen Kosten.

Das war es soweit über Zertifikate und gesicherte Verbindungen, ich hoffe es war lehrreich 🙂


Ein Gedanke zu “Warum SSL/TLS wichtig ist

Kommentare geschlossen.