• Startseite
• Themen
• News
• Forum
• Online-Shop

• Elektronik Grundlagen
• Bauelemente
• Schaltungstechnik
• Elektronik Minikurse
• Digitaltechnik
• Computertechnik
• Kommunikationstechnik
• Netzwerktechnik
• Sicherheitstechnik

SSL - Secure Socket Layer

SSL und TLS sind Protokolle, die der Authentifizierung und Verschlüsselung von Internetverbindungen dienen. SSL schiebt sich als eigene Schicht zwischen TCP und den Protokollen der Anwendungs- und Darstellungsschicht (z. B. HTTP). In der Regel geht es darum, die Echtheit des kontaktierten Servers durch ein Zertifikat zu garantieren und die Verbindung zwischen Client und Server zu verschlüsseln.
Der normale Internet-Nutzer kommt mit SSL-verschlüsselten Verbindungen beim Online-Banking und Online-Shopping in Kontakt.

Ein typisches Beispiel für den Einsatz von SSL ist der gesicherte Abruf von vertraulichen Daten über HTTP und die gesicherte Übermittlung von vertraulichen Daten an den HTTP-Server. Heute beherrschen praktisch alle HTTP-Clients (Browser) SSL bzw. TLS.
Weil SSL auf der Ebene der Anwendungsprotokolle sitzt, muss jedes Anwendungsprotokoll SSL explizit beherrschen. So wird aus HTTP (Hypertext Transfer Protocol) HTTPS (Hypertext Transfer Protocol Secure). Ebenso ist es möglich E-Mails über SSL beim POP3-Server abzurufen oder an den SMTP-Server zu übermitteln. Auch hier bekommen die Protokolle einen "Secure"-Zusatz (SMTPS, POP3S, IMAPS).
SSL ist inzwischen nicht nur auf HTTPS oder andere Transport-Protokolle beschränkt. Verfahren wie EAP-TLS, EAP-TTL, PEAP und auch das LDAP-Protokoll verwenden SSL.

Zertifizierung

Eine verschlüsselte Verbindung, wie bei SSL, bietet keinen Schutz, wenn nicht sichergestellt ist, dass der öffentliche Schlüssel von der tatsächlichen Domain kommt, mit der eine verschlüsselte Verbindung bestehen soll. Deshalb gehören zum SSL-Protokoll ein öffentlicher und privater digitaler Schlüssel des Servers. Der öffentliche Schlüssel darf jedem bekannt und zugänglich sein. Z. B. bei einer Anfrage durch den HTTP-Client. Der private Schlüssel (Private Key) verbleibt auf dem Server und muss geheim bleiben. Nur der Server mit dem passenden privaten Schlüssel ist in der Lage die Daten zu entschlüsseln.

Um die Gültigkeit des Schlüssels zu unterstreichen, lässt sich der Webseiten-Betreiber und Domain-Inhaber ein Zertifikat ausstellen, in dem Domainname, der öffentliche Schlüssel und ein Ablaufdatum enthalten ist. Das Zertifikat wird von einer Zertifizierungsstelle, auch Certificate Authenticity (CA) genannt, ausgestellt. Die Zertifizierungsstelle signiert das Zertifikat mit ihrem privaten Schlüssel, womit die Echtheit der Daten bestätigt sind. Im Vorfeld prüft die Zertifizierungsstelle die Informationen im Zertifikat und die Identität des Zertifikatsinhabers. Der kann zwischen drei Zertifikatstypen wählen, die einen unterschiedlichen Prüfaufwand haben und eine entsprechend unterschiedliche Echtheitsstufe garantieren.

• Domain-Validated-Zertifikat (DV-SSL)
• Organisation-Validation-Zertifikat (OV-SSL)
• Extended-Validation-Zertifikat (EV-SSL)

Die häufigsten Zertifikate sind DV- und EV-Zertifikate. Während man DV-Zertifikate schon für wenig Euro oder sogar kostenlos bekommen kann, kommen wegen des erheblichen Prüfaufwands bei EV-Zertifikaten mehrere hundert Euro zusammen. Allerdings kann man bei EV-Zertifikaten von einer höheren Vertrauenswürdigkeit ausgehen.

Welches Zertifikat bei einer verschlüsselten Verbindung zum Einsatz kommt, erkennt man beim Browser an der Adresszeile. Je nach Browser ist sie gelb, blau oder grün eingefärbt. Manchmal ist eine verschlüsselte Verbindung auch nur an einem Schloss-Symbol zu erkennen.

Auch die Zertifizierungsstelle besitzt ein Zertifikat, indem sich deren öffentlicher Schlüssel befindet. Dabei handelt es sich um ein Wurzelzertifikat, das in Browsern und Betriebssystemen hinterlegt ist und dem sie bedingungslos vertrauen. Anhand der Signatur der Zertifizierungsstelle und dem Wurzelzertifikat kann ein Browser feststellen, ob das Zertifikat einer Domain wirklich von der angegebenen Zertifizierungsstelle ausgestellt wurde.

Ablauf der Authentifizierung

Beim ersten HTTPS-Request durch den Browser (Client) nutzt SSL die asymmetrische Verschlüsselung. Der Server schickt als erste Antwort seinen öffentlichen Schlüssel (Public Key) und ein Zertifikat. Auf diese Weise authentifiziert sich der Webserver gegenüber dem Client. Schlüssel und Zertifikat werden vom Client auf Glaubwürdigkeit überprüft. Je nach Einstellung des Clients muss der Benutzer zuerst die Glaubwürdigkeit bestätigen.
Nach erfolgreicher Authentifizierung des Servers, generiert der Browser einen symmetrischen Schlüssel, den er mit dem öffentlichen Schlüssel des Servers verschlüsselt. Den symmetrischen Schlüssel schickt der Browser dann an den Server. Der Server kann das verschlüsselte Paket mit seinem privaten Schlüssel öffnen. Der darin enthaltene Schlüssel des Browsers nutzt der Server für die symmetrische Verschlüsselung der darauf folgenden Verbindung. Eine sichere Übertragung ist gewährleistet. Die Inhalt der HTTPS-Pakete sind gegen Belauschen und Veränderung geschützt.
Während der Datenübertragung zwischen Client und Server wird immer wieder ein neuer Schlüssel ausgehandelt, so dass ein möglicher Angreifer nur für eine kurze Zeit die Verbindung stören kann.

In der Regel authentifiziert sich der Client nicht. Die Möglichkeit der beiderseitigen Authentifizierung per Signatur ist als Option in der SSL-Spezifikation enthalten. Die Benutzerauthentifizierung, sofern erforderlich, findet in der Regel auf der Anwendungsebene statt. Konkret bedeutet dass, der Kunden würde sich in einem Online-Shop registrieren und anmelden oder im Online-Banking mit Pin, Passwort und TAN identifizieren.

Ablauf der Validierung

Bei der Validierung prüft ein Browser zuerst, ob er dem Aussteller des Zertifikats vertraut. Dazu muss das entsprechende Wurzelzertifikat der Zertifizierungsstelle im Browser hinterlegt sein. Im zweiten Schritt kontaktiert der Browser die angegebene Validierungsstelle. Diese prüft, ob das Zertifikat gültig ist. Erst wenn der Browser die Gültigkeit eines Zertifikats feststellen kann, gilt die Verbindung mit dem öffentlichen Schlüssel als sicher.

Sicherheitsrisiken beim Einsatz von SSL

Wurde eine Verbindung mit SSL oder TLS aufgebaut, dann ist die Übertragung verschlüsselt und vor Dritten geschützt. Es ist nicht mehr möglich die Verbindung passiv zu belauschen oder aktiv zu manipulieren. Doch man sollte nicht denken, dass SSL so bombensicher ist, wie es hier dargestellt wurde. Deshalb im folgenden, ein paar Sicherheitsrisiken, die man im Zusammenhang mit SSL beachten sollte.

Wenn ein privater Schlüssel gestohlen wurde, dann muss dieser Schlüssel in eine Blacklist (Sperrliste) aufgenommen werden, damit die Validierungsstelle diesen Schlüssel bei einer Abfrage als ungültig erklären kann.
Ein weiteres Risiko entsteht, wenn es einem Angreifer gelungen ist, die Prüfinstanzen einer Zertifizierungsstelle zu umgehen und Zertifikate für beliebige Domains auszustellen. Kann sich ein Angreifer Zugriff auf eine Zertifizierungsstelle verschaffen und beliebige Zertifikate erstellen, dann hilft nur noch, das Wurzelzertifikat der Zertifizierungsstelle aus Browsern und Betriebssystemen zu entfernen. Nur das stellt die nötige Sicherheit wieder her.
Leider akzeptieren manche Browser ein Zertifikat auch dann, wenn sie keine Antwort von der Validierungsstelle bekommen. Bei einer ausbleibenden Antwort könnte die Verbindung auch durch eine Man-in-the-Middle-Aktion gesteuert werden und eine offensichtlich verschlüsselte Verbindung durch eine dritte Person abgehört werden.
Um sicher zu gehen, nehmen die Browserhersteller ungültig gewordene Zertifikate in ihre Browsereigenen Blacklisten auf.

TLS - Transport Layer Security

Ursprünglich war SSL eine optional aktivierbare Sicherheitskomponente für HTTP. SSL war für Webseiten gedacht, die vertrauliche Daten verarbeiten. Zum Beispiel beim Online-Banking oder Online-Shopping. Diese Webseiten bauen in der Regel automatisch eine verschlüsselte Verbindung zwischen Browser und Webserver auf. Der User bekommt das nur mit, wenn ein Symbol in der Statusleiste eingeblendet wird oder die Adresszeile ihre Farbe ändert.
SSL wurde ursprünglich von Netscape in den 90er Jahren für den Browser "Netscape Navigator" entwickelt. Die Weiterentwicklung von SSL wurde mit der Version 3 beendet.

Nach der Version 3 übernahm die IETF (Internet Engineering Task Force) die Weiterentwicklung und Normierung. Daraus entstand 1999 der Standard TLS (Transport Layer Security). TLS basiert auf der letzten Version von SSL.
TLS ist bis auf ein paar Details mit SSL identisch. Die Unterschiede zwischen TLS Version 1 und SSL Version 3 reichen jedoch aus, dass beide zueinander inkompatibel sind.
Obwohl man in der Regel TLS verwendet, ist die Bezeichnung SSL immer noch üblich. Häufig werden beide Bezeichnungen synonym verwendet.

Weitere verwandte Themen:

• HTTP - Hypertext Transfer Protocol
• E-Mail
• VPN - Virtual Private Network
• SSL-VPN
• Sicherheit in Netzwerken
• Verschlüsselung

Netzwerktechnik-Fibel EUR 24,50