HTTP Public Key Pinning (HPKP) ist ein Sicherheitsmechanismus, der es Webseiten ermöglicht, die Verbindung zwischen Client und Server vor Man-in-the-Middle-Angriffen zu schützen. HPKP kann jedoch auch zu Problemen führen, wenn der Server den Schlüssel ändert oder dieser kompromittiert wird.
Certificate Transparency, kurz CT, ist ein Verfahren, das dazu dient, die Transparenz und Integrität von Zertifikaten zu gewährleisten. Durch Certificate Transparency ist es möglich, dass sich nicht nur der Server authentifiziert, sondern auch noch geprüft werden kann, dass der Server von der richtigen Organisation betrieben wird, mit der man kommunizieren will.
Die HTTP-Version 3 kombiniert die einzelnen Funktionen von HTTP, TLS und TCP zu einem Protokoll und verzichtet dabei auf die strikte Trennung der Protokolle im OSI-Schichtenmodell.
Umfangreiche Neustrukturierung der Artikel über SSL und TLS.
Obwohl man in der Regel TLS verwendet, ist die Bezeichnung SSL immer noch üblich. Häufig werden beide Bezeichnungen synonym verwendet
Transport Layer Security, kurz TLS, ist ein Protokoll zur Authentifizierung und Verschlüsselung von Internet-Verbindungen. Dazu schiebt sich TLS als eigene Schicht zwischen TCP und den Protokollen der Anwendungsschicht.
In TLS 1.3 wurde jede einzelne Funktion auf Nutzen und Gefahren für die Sicherheit geprüft. Dabei wurden einige Teile entfernt, die nach aktueller Erkenntnis nicht mehr Sicherheit bieten und teilweise auch inzwischen als unsicher gelten. Gleichzeitig wurde die Sicherheit mit neuen Verfahren verbessert.
Forward Secrecy und Backward Secrecy sind Verfahren, die verhindern sollen, dass durch Bekanntwerden eines geheimen Sitzungsschlüssels die zukünftige und auch vergangene Kommunikation entschlüsselt werden kann.
Die Idee dahinter ist, dass wenn der Angreifer tatsächlich mal an einen geheimen Sitzungsschlüssel gelangen kann, dass er damit nur einen kleinen Teil der Kommunikation einsehen kann. Verfahren mit Backward und Forward Secrecy sorgen dafür, dass die geheimen Sitzungsschlüssel keinen Bezug zueinander haben.
Der folgende Artikel beschäftigt sich damit, wie man auf einfache Art und Weise „Verschlüsselung prüfen“ kann. Dabei sind beide Seiten der Kommunikation zu berücksichtigen. Der eigene Client, in diesem Fall der Browser. Und auf der anderen Seite der Server, beispielsweise der Webserver.
Das Online Certificate Status Protocol, kurz OCSP, ist ein Protokoll, um festzustellen, ob ein Zertifikat widerrufen bzw. gesperrt wurde. OCSP hat leider einen Konstruktionsfehler, der dazu führt, dass das Sperren von Zertifikaten eigentlich nicht funktioniert. Das heißt, ein Zertifikat wird akzeptiert, obwohl es zwischenzeitlich zurückgezogen bzw. gesperrt wurde.
Damit beseitigt DANE verschiedene Schwachstellen von SSL bzw. TLS bei der Authentisierung und erhöht die Sicherheit beim verschlüsselten Transport von E-Mails und dem Zugriff auf verschlüsselte Webseiten.
Prinzipiell können DANE alle Protokolle nutzen, die verschlüsselte Verbindungen ermöglichen.
Certification Authority Authorization (CAA) ist ein Verfahren, beim dem der Domain-Inhaber im DNS festlegen kann, welche Zertifizierungsstellen (Certification Authority, CA) für seine Domain Zertifikate ausstellen dürfen und für die Validierung zuständig sind.
Beim CA-Pinning wird ein Zertifikat nicht nur an einen bestimmten Host, sondern auch an eine bestimmte Zertifizierungsstelle gebunden.