TLS, SSL, HTTP, HTTPS, ….Sind Sie mit diesen Begriffen oder Konzepten nicht vertraut? Leider scheinen viele Fachleute diese netzbezogenen Terminologien nicht zu kennen, und haben daher Schwierigkeiten einen Sicherheitsbericht zu lesen.
In diesem Blogbeitrag listen wir einige grundlegende Begriffe auf, die von Netzwerkverantwortlichen in diesem Blog verwendet werden.
Zunächst erklären wir HTTP, dann den Unterschied zu HTTPS. Danach werden wir die SSL- und TLS-Verschlüsselung erklären (der Unterschied zwischen HTTP und HTTPS). Zum Schluss werden wir erklären, wie sie alle zusammen funktionieren.
Was ist HTTP
HTTP bedeutet „HyperText Transfer Protocol“. Es handelt sich um eine Reihe von Regeln zum Senden und Empfangen von textbasierten Nachrichten. Computer arbeiten in einer Sprache mit 1en und 0en, d. h. in einer „Binärsprache“. Daher kann ein Satz von 1en und 0en ein Wort sein.
Nehmen wir an, ich möchte ‚a‘ schreiben. Wenn nun 0 für „a“, 1 für „b“ und 01 für „c“ steht, können wir daraus schließen, dass auch eine Kombination aus 0 und 1 ein Wort bilden kann. In diesem Fall ist der Text bereits konstruiert und wird über die Leitung gesendet. Der Computer arbeitet in vielen Sprachen – reinem Binärcode, Text und einigen anderen Formaten wie Bytecodes. Bei HTTP wird jedoch nur Text übertragen.
Der Browser interpretiert diesen Text, und in dem Moment, in dem der Browser ihn interpretiert, wird er zu Hypertext, und das Protokoll, das den Text überträgt, wird als Hypertext Transfer Protocol – HTTP – bezeichnet.
Mit HTTP können Sie auch Bilder und Text und sogar Ton übertragen, aber keine Videos.
Was ist HTTPS
HyperText Transfer Protocol Secure (HTTPS) ist die sichere Version von HTTP, dem Protokoll, über das die Daten zwischen Ihrem Browser und der angeschlossenen Website übertragen werden. Es bedeutet, dass die Kommunikation zwischen Ihrer Webanwendung und der Website verschlüsselt ist. HTTPS wird häufig zum Schutz streng vertraulicher Online-Transaktionen wie Online-Banking und Bestellformulare beim Online-Shopping verwendet. Dabei wird die SSL- oder TLS-Verschlüsselung verwendet, die wir weiter unten erläutern.
Im April 2018 verwenden 33,2 % der 1.000.000 Alexa-Top-Websites standardmäßig HTTPS, 57,1 % der 137.971 beliebtesten Websites im Internet haben eine sichere HTTPS-Implementierung, und 70 % der Seitenaufrufe (gemessen von Firefox Telemetry) verwenden HTTPS.
(de.wikipedia.org)
Was ist SSL
SSL steht für Secure Sockets Layer. SSL ist ein sicheres Protokoll, das entwickelt wurde, um Informationen sicher über das Internet zu übertragen. Viele Websites verwenden SSL für sichere Bereiche ihrer Websites, z. B. für Benutzerkontoseiten und die Online-Kasse. Wenn Sie aufgefordert werden, sich auf einer Website „einzuloggen“, ist die Seite, die Sie aufrufen, in der Regel durch SSL gesichert, wodurch eine sichere Sitzung entsteht.
SSL verschlüsselt die übertragenen Daten, so dass ein Dritter die Übertragung nicht „abhören“ und die übertragenen Daten nicht einsehen kann. Nur der Computer des Benutzers und der sichere Server können die Daten erkennen.
Mit SSL bleiben Ihr Name, Ihre Adresse und Ihre Kreditkartendaten zwischen Ihnen und dem Händler, dem Sie sie zur Verfügung stellen. Ohne diese Art der Verschlüsselung wäre das Online-Shopping viel zu unsicher, um praktisch zu sein. Wenn Sie eine Webadresse besuchen, die mit „https“ beginnt, bedeutet das „s“ nach dem „HTTP“, dass die Website sicher ist. Diese Websites verwenden oft SSL-Zertifikate, um ihre Authentizität zu überprüfen.
Visuelle Darstellung der Verwendung der SSL-Verschlüsselung auf Websites
Was ist TLS (Transport Layer Security)
TLS steht für Transport Layer Security. TLS ist das Protokoll, das Authentifizierung, Datenschutz und Datenintegrität zwischen zwei kommunizierenden Computeranwendungen gewährleistet. Wenn Daten von Webanwendungen sicher über das Netz ausgetauscht werden müssen, ist es das am häufigsten eingesetzte Sicherheitsprotokoll. Zu den Anwendungen gehören Web-Browsing-Sitzungen, Dateiübertragungen, VPN-Verbindungen, Remote-Desktop-Sitzungen und Voice over IP (VOIP).
TLS hat sich aus SSL entwickelt und es weitgehend verdrängt, obwohl die Begriffe SSL oder SSL/TLS meist miteinander in Verbindung gebracht werden. Die wichtigsten Unterschiede zwischen SSL und TLS, die TLS zu einem sichereren und effizienteren Protokoll machen, sind:
- Authentifizierung der Nachricht
- die Erzeugung von Schlüsselmaterial
- die unterstützten Chiffriersuiten, wobei TLS neuere und sicherere Algorithmen unterstützt
Im August 2019 sind etwa 80 % der TLS-fähigen Websites so konfiguriert, dass sie Chiffriersuiten verwenden, die den meisten Webbrowsern Vorwärtsgeheimnis bieten.
(de.wikipedia.org)
TLS und SSL sind nicht interoperabel, obwohl TLS derzeit Abwärtskompatibilität bietet, um Verbindungen mit älteren Systemen herzustellen. Lesen Sie auch unseren Blog-Beitrag darüber, wie verschiedene Browser wie Chrome, Safari, Edge usw. die Anzeige älterer TLS-Protokollversionen handhaben. Wenn Sie TLS-Verschlüsselung verwenden, führen die beiden Endpunkte, die miteinander kommunizieren, einen TLS-Handshake durch. Wir erklären dies im Folgenden.
Leitfaden
Erfahren Sie, wie Sie verschiedene Arten von SSL/TLS-Schwachstellen erkennen und verhindern können.
Was ist ein TLS-Handshake
Er wird Handshake genannt, weil sich zwei Parteien – Client und Server – zum ersten Mal begegnen. Der Handshake umfasst verschiedene Schritte, die mit der Überprüfung der Identität der anderen Partei beginnen und mit der Generierung eines Standardschlüssels – eines geheimen Schlüssels, wenn Sie so wollen – enden.
Im Grunde ist der SSL-Handshake nichts anderes als ein Gespräch zwischen zwei Parteien (Client und Server), die das gleiche Ziel verfolgen – die Sicherung der Kommunikation mit Hilfe der symmetrischen Verschlüsselung.
Stellen Sie sich diesen SSL-Handshake-Prozess als eine Kommunikationssitzung zwischen den beiden vor. Schauen wir uns an, wie es abläuft.
Kunde: „Hallo zusammen. Ich möchte eine sichere Kommunikation zwischen uns beiden festlegen. Hier sind meine Cipher Suites und die kompatible SSL/TLS-Version“.
Server: „Hallo, Client. Ich habe Ihre Cipher-Suites und SSL/TLS-Version überprüft. Ich denke, wir sind bereit, weiterzumachen. Hier sind meine Zertifikatsdatei und mein öffentlicher Schlüssel. Überprüfen Sie sie“
Kunde: „Lassen Sie mich Ihr Zertifikat überprüfen… (Nach der Überprüfung) Okay, es scheint in Ordnung zu sein, aber ich möchte Ihren privaten Schlüssel überprüfen. Ich werde einen Pre-Master-Schlüssel (gemeinsamer geheimer Schlüssel) mit Ihrem öffentlichen Schlüssel erzeugen und verschlüsseln. Entschlüsseln Sie ihn mit Ihrem privaten Schlüssel, und wir verwenden den Hauptschlüssel, um die Informationen zu ver- und entschlüsseln.“
Server: „Erledigt.“
[Da nun beide Parteien wissen, mit wem sie es zu tun haben, werden die zwischen ihnen übertragenen Informationen mit dem Hauptschlüssel gesichert. Nach dem Verifizierungsteil erfolgt die Verschlüsselung nur noch mit dem Hauptschlüssel. Dies wird oft als symmetrische Verschlüsselung bezeichnet].
Kunde: „Ich sende Ihnen diese Beispielnachricht, um zu überprüfen, ob unser Hauptschlüssel funktioniert. Bitte senden Sie mir die entschlüsselte Version dieser Nachricht. Wenn sie funktioniert, sind unsere Daten in sicheren Händen.“
Server: „Ja, es funktioniert. Ich glaube, wir haben erreicht, was wir wollten.“
Wie spielen TLS, SSL, HTTP und HTTPS zusammen
Das von Ihnen eingerichtete SSL-Zertifikat wird für die Übertragung von Daten über HTTPS verwendet. Sie sind voneinander abhängig. URLs werden entweder mit HTTP (Hypertext Transfer Protocol) oder HTTPS (Hypertext Transfer Protocol Secure) eingeleitet. Davon hängt ab, wie die von Ihnen gesendeten und empfangenen Daten übertragen werden. Um festzustellen, ob eine Website ein SSL-Zertifikat verwendet, müssen Sie sich die URL ansehen und prüfen, ob sie HTTP oder HTTPS enthält. Denn HTTPS-Verbindungen erfordern ein SSL-Zertifikat, um zu funktionieren.
Scannen Sie Ihre Webanwendung jetzt kostenlos und finden Sie heraus, ob Sie TLS-, SSL-, HTTP- oder HTTPS-Sicherheitslücken haben, die Hackern Tür und Tor öffnen!
