Wie funktioniert SSL? | SSL-Zertifikate und TLS

Was ist SSL?

SSL steht für Secure Sockets Layer und bezieht sich auf ein Protokoll zur Verschlüsselung, Sicherung und Authentifizierung der Kommunikation im Internet. Obwohl SSL vor einiger Zeit zu einem Protokoll namens TLS (Transport Layer Security) aktualisiert wurde, wird der Begriff „SSL“ immer noch häufig für diese Technologie verwendet.

Der Hauptanwendungsfall für SSL/TLS ist das Sichern der Kommunikation zwischen einem Client und einem Server. Es kann jedoch auch E-Mail-, VoIP- und andere Kommunikationen über ungesicherte Netzwerke sichern.

Wie funktioniert SSL/TLS?

Das sind die wesentlichen Prinzipien, um die Funktionsweise von SSL/TLS zu verstehen:

• Sichere Kommunikation beginnt mit einem TLS-Handshake, bei dem die beiden kommunizierenden Parteien eine sichere Verbindung herstellen und den öffentlichen Schlüssel austauschen
• Während des TLS-Handshakes generieren die beiden Parteien Sitzungsschlüssel, die dann die gesamte Kommunikation nach dem TLS-Handshake verschlüsseln und entschlüsseln
• In jeder neuen Sitzung werden unterschiedliche Sitzungsschlüssel zum Verschlüsseln der Kommunikation verwendet
• TLS stellt sicher, dass die Partei auf der Serverseite oder die Website, mit der der Benutzer interagiert, tatsächlich die Partei ist, für die sie sich ausgibt
• TLS stellt außerdem sicher, dass die Daten nicht geändert wurden, da in den Übertragungen ein Message Authentication Code (MAC) enthalten ist

TLS verschlüsselt sowohl HTTP-Daten, die Benutzer an eine Website senden (durch Klicken, Ausfüllen von Formularen usw.), als auch die HTTP-Daten, die Websites an Benutzer senden. Verschlüsselte Daten müssen vom Empfänger mit einem Schlüssel entschlüsselt werden.

Der TLS-Handshake

TLS-Kommunikationssitzungen beginnen mit einem TLS-Handshake. Ein TLS-Handshake verwendet eine sogenannte asymmetrische Verschlüsselung, d.h. an beiden Enden der Konversation werden zwei verschiedene Schlüssel verwendet. Dies ist aufgrund einer Technik möglich, die als Public-Key-Verschlüsselungsverfahren (Public Key Cryptography) bezeichnet wird.

Bei dem Public-Key-Kryptographie werden zwei Schlüssel verwendet: ein öffentlicher Schlüssel, den der Server öffentlich zur Verfügung stellt, und ein privater Schlüssel, der geheim gehalten und nur auf der Serverseite verwendet wird. Daten, die mit dem öffentlichen Schlüssel verschlüsselt wurden, können nur mit dem privaten Schlüssel entschlüsselt werden.

Während des TLS-Handshakes verwenden Client und Server die öffentlichen und privaten Schlüssel, um zufällig generierte Daten auszutauschen. Diese zufälligen Daten werden verwendet, um neue Schlüssel für die Verschlüsselung zu erstellen, die man Sitzungsschlüssel (Session Keys) nennt.

Symmetrische Verschlüsselung mit Sitzungsschlüsseln

Im Gegensatz zur asymmetrischen Verschlüsselung verwenden bei der symmetrischen Verschlüsselung beide Parteien denselben Schlüssel. Nach dem TLS-Handshake verwenden beide Seiten dieselben Sitzungsschlüssel für die Verschlüsselung. Sobald Sitzungsschlüssel verwendet werden, werden die öffentlichen und privaten Schlüssel nicht mehr verwendet. Sitzungsschlüssel sind temporäre Schlüssel, die nach Beendigung der Sitzung auslaufen. Für die nächste Sitzung wird ein neuer, zufälliger Satz von Sitzungsschlüsseln erstellt.

Authentifizierung des Ursprungsservers

TLS-Kommunikationen vom Server enthalten einen Message Authentication Code oder MAC, eine digitale Signatur, die bestätigt, dass die Kommunikation von der tatsächlichen Website stammt. Dies authentifiziert den Server und verhindert On-Path-Angriffe und Domain-Spoofing. Außerdem wird sichergestellt, dass die Daten während der Übertragung nicht geändert wurden.

Was ist ein SSL-Zertifikat?

Ein SSL-Zertifikat ist eine Datei, die auf dem Ursprungsserver einer Website installiert ist. Es ist einfach eine Datei, die den öffentlichen Schlüssel und die Identität des Website-Eigentümers sowie andere Informationen enthält. Ohne ein SSL-Zertifikat lässt sich der Traffic einer Website nicht mit TLS verschlüsseln.

Technisch gesehen kann jeder Websitebesitzer sein eigenes SSL-Zertifikat erstellen. Diese Zertifikate nennt man selbstsignierte Zertifikate. Browser bewerten selbstsignierte Zertifikate jedoch nicht als gleichermaßen vertrauenswürdig wie SSL-Zertifikate, die von einer Zertifizierungsstelle ausgestellt wurden.

Wie erhält eine Website ein SSL-Zertifikat?

Websitebesitzer müssen ein SSL-Zertifikat von einer Zertifizierungsstelle erhalten und es dann auf ihrem Webserver installieren (häufig kann ein Webhost diesen Prozess übernehmen). Eine Zertifizierungsstelle ist eine externe Partei, die bestätigen kann, dass der Websitebesitzer auch der ist, der er vorgibt zu sein. Sie behält eine Kopie der von ihnen ausgestellten Zertifikate.

Kann man ein kostenloses SSL-Zertifikat erhalten?

Viele Zertifizierungsstellen erheben Gebühren für SSL-Zertifikate. Um das Internet sicherer zu machen, bietet Cloudflare kostenlose SSL-Zertifikate an. Cloudflare war das erste Internet-Performance- und Sicherheitsunternehmen, das diesen Schritt machte. Cloudflare hat auch daran gearbeitet, die SSL/TLS-Performance so zu optimieren, dass die Performance von Websites, die von HTTP zu HTTPS wechseln, nicht beeinträchtigt wird. Weitere Informationen über SSL-Optionen mit Cloudflare finden Sie in unserer Entwickler-Dokumentation.

Was ist der Unterschied zwischen HTTP und HTTPS?

Das S in „HTTPS“ steht für „sicher“. HTTPS ist nur HTTP mit SSL/TLS. Eine Website mit einer HTTPS-Adresse verfügt über ein legitimes SSL-Zertifikat, das von einer Zertifizierungsstelle ausgestellt wurde, und der Datenverkehr zu und von dieser Website wird mit dem SSL/TLS-Protokoll authentifiziert und verschlüsselt.

Um den Umstieg auf sichereres HTTPS für das ganze Internet zu fördern, haben viele Webbrowser damit begonnen, HTTP-Websites als „nicht sicher“ oder „unsicher“ zu kennzeichnen. Daher ist HTTPS nicht nur für die Sicherheit von Benutzern und Benutzerdaten von entscheidender Bedeutung, sondern auch für die Vertrauensbildung mit Benutzern.