TLS/HTTPS für ein sicheres Internet

Wofür eine sichere Verbindung?

Die Informationen (Daten), die im Internet zwischen dem Webserver und dem aufrufendem Computer ausgetauscht werden sind normalerweise unverschlüsselt im Textformat. D.h. jeder im gleichen Netzwerk könnte die Informationen mitlesen, ohne dass der Absender oder der Empfänger etwas davon mitbekommt. Das ist besonders dann brisant, wenn es sich um sensible Daten wie: persönliche Informationen, Bankdaten oder interne Informationen von Firmen handelt, die nicht für die Öffentlichkeit bestimmt sind. Eine einfache Möglichkeit das Mitlesen ( Man-in-the-Middle-Angriff) zu verhindern, ist die Verbindung zu verschlüsseln und den Absender/Empfänger der Daten zu verifizieren. Ohne den passenden Schlüssel können die Informationen dann nicht mitgelesen werden und der Angreifer wird als nicht bestimmungsgemäßer Empfänger erkannt.

Was ist TLS/SSL?

TLS - Transport Layer Security (Transportschichtsicherheit) ist ein Protokoll zur sicheren Datenübertragung im Internet. Oft fällt in diesem Zusammenhang auch die ältere Bezeichnung SSL. SSL und TLS sind standardisierte Richtlinien zur sicheren Datenübertragung.

Wofür wird TLS verwendet?

Am häufigsten wird TLS für das HTTP-Protokoll verwendet, welches den Aufruf von Webseiten kontrolliert. Um TLS erweitert heißt es dann HTTPS. Aber auch andere Protokolle sind um TLS erweiterbar und finden Anwendung z.B. beim Austausch von E-Mails.

Wie funktioniert es?

TLS verschlüsselt die Daten und zertifiziert den Endpunkt der Verbindung. Diese Zertifizierung geschieht über das s.g. Handshake Verfahren. Dieses generiert beim Absender eine zufällige Zeichenkette und sendet diese zusammen mit einigen Informationen über die Verschlüsselung an den Empfänger. Der Empfänger identifiziert sich nun gegenüber dem Absender mit einem X.509 Zertifikat. Der Empfänger nimmt dann das X.509 Zertifikat und prüft ob es für ihn gültig ist. Fällt die Prüfung negativ aus, wird die Verbindung unterbrochen und eine Warnmeldung wird ausgegeben.
Wird zusätzlich eine Chiffrierung z.B. Cipher Suite RSA verwendet, wird mit Hilfe der am Anfang generierten Zeichenkette, die Verbindung verschlüsselt.

Wann lohnt sich SSL?

Eine SSL Verbindung zu implementieren lohnt sich immer dann, wenn sensible Daten verschickt bzw. empfangen werden. Zum Beispiel in einem Onlineshop müssen Kontakt-, Kreditkarten- und Benutzerdaten verschickt werden. Wenn diese nicht verschlüsselt sind, kann sie jeder mitlesen und evtl. missbräuchlich verwenden. Also achten Sie immer darauf, wenn von Ihnen Kreditkarten- und/oder Bankdaten abgefragt werden, das eine gesicherte Verbindung hergestellt wurde.

Für ein Unternehmen ist es z.B. sinnvoll ein TLS-Zertifikat zur Absicherung der Webseite zu nutzen, um sogenannten Phishing Angriffen vorzubeugen. Denn jeder Browser macht deutlich, wenn die Webseite über eine gesicherte Verbindung aufgerufen wird. Dann steht ein kleines Schloss vor der Internetadresse in der Browser-Adresszeile. Mit einem Klick auf dieses Schloss kann sich der Nutzer versichern, wer der Eigner der Webseite ist.

Was bedeuten die einzelnen Zertikatstypen?

Als Erstes sei zusagen, dass es technisch keine Rolle spielt, welcher Zertifikatstyp verwendet wird. Ein TLS-Zertifikat kann auch selbst ausgestellt werden und ist dadurch nicht weniger sicher wie ein gekauftes. Ein gekauftes Zertifikat wird nur zusätzlich von einer Firma (Root Agency) signiert. Von diesen Zertifizierungsstellen gibt es z.Z. sehr viele, wie z.B.: Symantec, GeoTrust, Thawte, RapidSSL, Comodo, DigiCert, GlobalSign, AlphaSSL und EuropeanSSL, welche alle unterschiedliche Pakete anbieten. Je nach Zertifikatspaket werden die Domain, der Betreiber, die hinterlegten Kontaktdaten und das Unternehmen selbst überprüft.

Fazit: Beim elektronischen Geschäftsverkehr sollten Sie wirklich sicher sein mit wem Sie kommunizieren und das Ihre Verbindung nicht "abgehört" wird. Von der Optik einer Webseite können Sie nicht ausgehen, denn die ist schnell kopiert ( Thema: Phishing).