Version: Autor: Zuletzt geändert: 2016-01-12 16:42:11

SSL (Secure Sockets Layer) ist ein Protokoll, mit dem eine verschlüsselte Übermittlung(Transportverschlüsselung) von Daten, z.B. vom Browser zum Webserver, erfolgt. Ein digitales Zertifikat ist ein digitaler Datensatz, der bestimmte Eigenschaften von Personen oder Objekten bestätigt und dessen Authentizität und Integrität durch kryptografische Verfahren geprüft werden kann. Transport Layer Security (TLS, deutsch Transportschichtsicherheit), weitläufiger bekannt unter der Vorgängerbezeichnung Secure Sockets Layer (SSL), ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Seit Version 3.0 wird das SSL-Protokoll unter dem neuen Namen TLS weiterentwickelt und standardisiert, wobei Version 1.0 von TLS der Version 3.1 von SSL entspricht.

TLS-Verschlüsselung wird heute vor allem mit HTTPS eingesetzt. Die meisten Webserver unterstützen TLS 1.0, viele auch SSLv2 und SSLv3 mit einer Vielzahl von Verschlüsselungsmethoden, fast alle Browser und Server setzen jedoch bevorzugt TLS mit RSA- und AES- oder Camellia-Verschlüsselung ein. In aktuellen Browsern ist SSLv2 deaktiviert oder führt zu einer Sicherheitswarnung,[1] da diese Protokollversion eine Reihe von Sicherheitslücken[2][3] aufweist. Seit dem Bekanntwerden des Poodle-Angriffs auf die Verschlüsselung mit SSL gilt dies bei vielen Servern und Browsern auch für SSLv3. Die Weiterentwicklung TLS 1.1 wird von Google Chrome unterstützt, TLS 1.2 wird in der Standardkonfiguration von Internet Explorer, Firefox, Google Chrome, Opera und Apple iOS Safari verwendet (Stand 02/2014).[4]

In Verbindung mit einem virtuellen Server, zum Beispiel mit HTTP (etwa beim Apache HTTP Server über den VHost-Mechanismus), ist es grundsätzlich als Nachteil zu werten, dass pro Kombination aus IP-Adresse und Port nur ein Zertifikat verwendet werden kann, da die eigentlichen Nutzdaten des darüber liegenden Protokolls (und damit der Name des VHosts) zum Zeitpunkt des TLS-Handshakes noch nicht übertragen wurden. Dieses Problem wurde mit der TLS-Erweiterung Server Name Indication im Juni 2003 durch die RFC 3546 behoben. Dabei wird bereits beim Verbindungsaufbau der gewünschte Servername mitgesendet. Die ursprüngliche Erweiterung wurde für TLS 1.0 beschrieben, aufgrund der Kompatibilität der einzelnen TLS-Versionen zueinander wird SNI auch bei TLS 1.1 und TLS 1.2 entsprechend der Empfehlung umgesetzt.

1.1 Wie funktioniert SSL

  1. Der Client baut eine Verbindung zum Server auf.
  2. Der Server authentisiert sich gegenüber dem Client mit einem Zertifikat.
  3. Der Client überprüft hierbei die Vertrauenswürdigkeit des X.509-Zertifikats und ob der Servername mit dem Zertifikat übereinstimmt. Optional kann sich der Client mit einem eigenen Zertifikat auch gegenüber dem Server authentisieren.
  4. Dann schickt entweder der Client dem Server eine mit dem öffentlichen Schlüssel des Servers verschlüsselte geheime Zufallszahl, oder die beiden Parteien berechnen mit dem Diffie-Hellman-Schlüsselaustausch ein gemeinsames Geheimnis.
  5. Aus dem Geheimnis wird dann ein kryptographischer Schlüssel abgeleitet. Dieser Schlüssel wird in der Folge benutzt, um alle Nachrichten der Verbindung mit einem symmetrischen Verschlüsselungsverfahren zu verschlüsseln und zum Schutz von Nachrichten-Integrität und Authentizität durch einen Message Authentication Code abzusichern.

1.2 Vorteile von SSL verschlüsselten Verbindungen

  • Schutz gegen Manipulation und unberechtigten Zugriff während der Übertragung.
  • Digitales Anhängen eines kryptografischen Schlüssels an Unternehmensdaten.
  • Sicherheit bei Kreditkartentransaktionen, Datenübertragung, Logins, u.v.m.
  • Validierung des Unternehmens, der Datei/Dokument und der Domain/Server.
  • u.v.m...

1.3 Validierungstypen

SSL-Zertifikate geben den an der Kommunikation beteiligten Parteien die Gewissheit, dass sie auf eine authentische Website zugreifen. Ein SSL-Zertifikat bestätigt die Identität einer Partei anhand eines spezifischen Validierungsprozesses vor der Austellungs des Zertifikates. Dieser Validierungsprozess ist abhängig von der Art und Weise, wie die Itentität eines Antragstellers durch die CA (Certificate Authority - Zertifizierungsstelle) durchgeführt wird. Anerkannte SSL-Validierungskategorien sind: Extended Validation (EV), Organization Validation (OV) und Domain Validation (DV).

1.3.1 Domain Validation (DV)

Domain Validation ist die einfachste Art der SSL-Zertifizierung. Domain Validation bestätigt, dass die Domain registriert ist und eine Person mit administrativen Vollmachten die Zertifizierungsanfrage genehmigt hat.

  • Validiert die Kontrolle über die Domain.
  • Zeigt im Browser ein Vorhängeschloss an.
  • Zeigt den Namen der Zertifizierungsstelle im Browser an.
1.3.2 Organization Validation (OV)

Organization Validation (OV) war bis vor einigen Jahren die höchste Stufe der Validierungen. OV validiert sowohl den Inhaber der Domain bzw. die Nutzungsberechtigung sowie die im Zertifikat enthaltenen Unternehmensinformationen (wie z.B. Unternehmensbezeichnung, Stadt und Land). Im Gegensatz zu SSL-Zertifikaten mit Extended Validation bietet Organization Validation keine grüne Adressleiste und der Name des Unternehmens wird nicht in der Adressleiste dargestellt. Organization Validation (OV) ist eine weniger starke und ausführliche Validierungsmethode stellt die einfache Unternehmensvalidierung dar.

  • Validiert Domain-Inhaberschaft.
  • Authentifiziert das jeweilige Unternehmen.
  • Erhält Nachweis über die Rechtmäßigkeit des Antrags.
  • Zeigt die Unternehmensinformationen im Zertifikat an.
1.3.3 Extended Validation (EV)

Extended Validation (EV) stellt den größten Aufwand bei der Validierung eines Antragstellers bzw. dessen Unternehmen dar. Die Validierungskriterien werden vom CA/Browser-Forum festgelegt. SSL-Zertifikate mit Extended Validation (EV) aktivieren im Browser die grüne Adressleiste und zeigen darin den Namen des Unternehmens und der Zertifizierungsstelle. Bei SSL-Zertifikaten mit Extended Validation überprüft die Zertifizierungsstelle zusätzlich die Domain-Inhaberschaft bzw. die Nutzungsrechte für die Domain sowie weitere Angaben des Unternehmens einschließlich der Rechtsform und die Berechtigung des Antragstellers, das Zertifikat im Namen des Unternehmens zu beantragen. Der Vorteil der Extended Validation (EV) liegt in einer höheren Vertrauenswürdigkeit.

  • Validiert Domain-Inhaberschaft.
  • Zeigt die grüne Adressleiste im Browser an.
  • Authentifiziert das jeweilige Unternehmen.
  • Erhält Nachweis über die Rechtmäßigkeit des Antrags.
  • Zeigt die Unternehmensinformationen im Zertifikat an.
  • Zeigt den Namen des Unternehmens und der Zertifizierungsstelle im Browser an.

1.4 Subject Alternative Names (SAN)

Bei SSL-Zertifikaten, welche die sog. Subject Alternative Names (SAN) unterstützen, handelt es sich um Zertifikatstypen, die mehrere Domainnamen in ein Zertifikat integrieren können. Diese Zertifikate werden auch Multi-Domain-Zertifikate genannt. SAN-fähige SSL-Zertifikate werden auch als Unified Communications-Zertifikate (UC) bezeichnet. SAN bietet ein Subject-Alternative-Name-Feld, in dem zusätzliche Domainnamen in nur einem Zeritifkat angegeben und geschützt werden können. Die Zertifikats-Kosten werden dadurch verringert, die Verwaltung des Zertifikats vereinfacht.

Top