HTTPS

Aus TBZ_-_Wiki
Wechseln zu:Navigation, Suche


Funktionsweise

HTTPS (HyperText Transfer Protocol Secure) ist ein Kommunikationsprotokoll dass im World Wide Web genutzt wird. Es wird dafür gebraucht um Daten abhörsicher zu übermitteln. Ist eine Seite mit HTTPS geschützt, so hat man die Möglichkeit (sofern Seitendetails nicht lokal gesichert sind) Details (SSL Zertifikat) anzusehen die Seite besuchen oder sie zu verlassen. Ein HTTPS garantiert dennoch keine absolute Sicherheit, da HTTPS auch eine Tür zu einer Man-in-the-middle aktion öffnet.

Details über Seite die mit HTTPS geschützt ist.

Details welche HTTPS Preisgeben

  • Name des Servers
  • Name des Ausstellers
  • Eine Seriennummer
  • Verwendungszweck
  • Name des Algorithmus (z.B. RSA)
  • Signatur des Ausstellers

Technik

HTTPS ist vom Aufbau her gleich wie http. Die Verschlüsselung der Daten erfolgt dann mittels SSL/TLS. Als erstes wird eine Authentifikation zwischen beiden Kommunikationspartner durchgeführt, danach werden zwei gleiche asymmetrische Schlüssel den beiden Kommunikationspartnern verteilt, die der Verschlüsselung der Nutzdaten dient. Client Verarbeitung:

Client Verarbeitung

HTTPS muss nicht wie andere Sicherheitsprotokolle durch Software installiert werden. Der Client wird meist durch ein Merkmal in der URL-Eingabeleiste auf HTTPS aufmerksam gemacht.

Server Voraussetzung

Zertifikat

Für den Betrieb eines HTTPS Sicherheitsprotokoll wird eine SSL-Bibliothek sowie OpenSSL benötigt. Ein SSL Digitales Zertifikat wird ebenfalls benötigt, damit man den Server und die Domain eindeutig identifizieren kann. Möglich ist auch ein „selbst signiertes Zertifikat“ zu verwenden, Ein solches Zertifikat verläuft Manuell ab, damit schafft es Sicherheit im Kampf gegen „Man-in-the-middle“ Aktionen. Um veraltete oder unsichere Zertifikate als Ungültig zu erklären, kann man Zertifikatsperrlisten verwenden, wobei die Logik besagt dass der Browser vor dem Zugriff diese Zertifikatsperrliste prüfen soll.

Shared SSL

Shared SSL wird verwendet, um HTTPS auch ohne IP-Adresse verwenden zu können. Das Zertifikat bezieht sich dabei die komplette Domain.

Vor/Nachteil

Vorteile

  • Unabhängig
  • Der Client braucht keine installation
  • Ziemlich sicher

Nachteile

  • Kann für eine "Man-in-the-middle" Attacke missbraucht werden
  • Rechenintensiv
Von «https://www.tbzwiki.ch/index.php?title=HTTPS&oldid=10719»