SSL, manchmal als TLS bezeichnet, verwendet Verschlüsselung, um Benutzerdaten zu schützen, die Identität von Websites zu authentifizieren und Angreifer daran zu hindern, Internetkommunikation zu manipulieren.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Melden Sie sich an, um Artikel zum Thema Sicherheit von Cloudflare zu erhalten.
Link zum Artikel kopieren
SSL steht für Secure Sockets Layer und bezieht sich auf ein Protokoll zur Verschlüsselung, Sicherung und Authentifizierung der Kommunikation im Internet. Obwohl SSL vor einiger Zeit zu einem Protokoll namens TLS (Transport Layer Security) aktualisiert wurde, wird der Begriff „SSL“ immer noch häufig für diese Technologie verwendet.
Der Hauptanwendungsfall für SSL/TLS ist das Sichern der Kommunikation zwischen einem Client und einem Server. Es kann jedoch auch E-Mail-, VoIP- und andere Kommunikationen über ungesicherte Netzwerke sichern.
Das sind die wesentlichen Prinzipien, um die Funktionsweise von SSL/TLS zu verstehen:
TLS verschlüsselt sowohl HTTP-Daten, die Benutzer an eine Website senden (durch Klicken, Ausfüllen von Formularen usw.), als auch die HTTP-Daten, die Websites an Benutzer senden. Verschlüsselte Daten müssen vom Empfänger mit einem Schlüssel entschlüsselt werden.
TLS-Kommunikationssitzungen beginnen mit einem TLS-Handshake. Ein TLS-Handshake verwendet eine sogenannte asymmetrische Verschlüsselung, d. h. an beiden Enden der Konversation werden zwei verschiedene Schlüssel verwendet. Dies ist aufgrund einer Technik möglich, die als Verschlüsselung mit öffentlichem Schlüsseln (Public Key Cryptography) bezeichnet wird.
Bei dem Public-Key-Kryptographie werden zwei Schlüssel verwendet: ein öffentlicher Schlüssel, den der Server öffentlich zur Verfügung stellt, und ein privater Schlüssel, der geheim gehalten und nur auf der Serverseite verwendet wird. Daten, die mit dem öffentlichen Schlüssel verschlüsselt wurden, können nur mit dem privaten Schlüssel entschlüsselt werden.
Während des TLS-Handshakes verwenden Client und Server die öffentlichen und privaten Schlüssel, um zufällig generierte Daten auszutauschen. Diese zufälligen Daten werden verwendet, um neue Schlüssel für die Verschlüsselung zu erstellen, die man Sitzungsschlüssel (Session Keys) nennt.
Im Gegensatz zur asymmetrischen Verschlüsselung verwenden bei der symmetrischen Verschlüsselung beide Parteien denselben Schlüssel. Nach dem TLS-Handshake verwenden beide Seiten dieselben Sitzungsschlüssel für die Verschlüsselung. Sobald Sitzungsschlüssel verwendet werden, werden die öffentlichen und privaten Schlüssel nicht mehr verwendet. Sitzungsschlüssel sind temporäre Schlüssel, die nach Beendigung der Sitzung auslaufen. Für die nächste Sitzung wird ein neuer, zufälliger Satz von Sitzungsschlüsseln erstellt.
TLS-Kommunikationen vom Server enthalten einen Message Authentication Code oder MAC, eine digitale Signatur, die bestätigt, dass die Kommunikation von der tatsächlichen Website stammt. Dies authentifiziert den Server und verhindert On-Path-Angriffe und Domain-Spoofing. Außerdem wird sichergestellt, dass die Daten während der Übertragung nicht geändert wurden.
Ein SSL-Zertifikat ist eine Datei, die auf dem Ursprungsserver einer Website installiert ist. Es ist einfach eine Datei, die den öffentlichen Schlüssel und die Identität des Website-Eigentümers sowie andere Informationen enthält. Ohne ein SSL-Zertifikat lässt sich der Traffic einer Website nicht mit TLS verschlüsseln.
Technisch gesehen kann jeder Websitebesitzer sein eigenes SSL-Zertifikat erstellen. Diese Zertifikate nennt man selbstsignierte Zertifikate. Browser bewerten selbstsignierte Zertifikate jedoch nicht als gleichermaßen vertrauenswürdig wie SSL-Zertifikate, die von einer Zertifizierungsstelle ausgestellt wurden.
Websitebesitzer müssen ein SSL-Zertifikat von einer Zertifizierungsstelle erhalten und es dann auf ihrem Webserver installieren (häufig kann ein Webhost diesen Prozess übernehmen). Eine Zertifizierungsstelle ist eine externe Partei, die bestätigen kann, dass der Websitebesitzer auch der ist, der er vorgibt zu sein. Sie behält eine Kopie der von ihnen ausgestellten Zertifikate.
Viele Zertifizierungsstellen erheben Gebühren für SSL-Zertifikate. Um das Internet sicherer zu machen, bietet Cloudflare kostenlose SSL-Zertifikate an. Cloudflare war das erste Internet-Performance- und Sicherheitsunternehmen, das diesen Schritt machte. Cloudflare hat auch daran gearbeitet, die SSL/TLS-Performance so zu optimieren, dass die Performance von Websites, die von HTTP zu HTTPS wechseln, nicht beeinträchtigt wird. Weitere Informationen über SSL-Optionen mit Cloudflare finden Sie in unserer Entwickler-Dokumentation.
Das S in „HTTPS“ steht für „sicher“. HTTPS ist nur HTTP mit SSL/TLS. Eine Website mit einer HTTPS-Adresse verfügt über ein legitimes SSL-Zertifikat, das von einer Zertifizierungsstelle ausgestellt wurde, und der Datenverkehr zu und von dieser Website wird mit dem SSL/TLS-Protokoll authentifiziert und verschlüsselt.
Um den Umstieg auf sichereres HTTPS für das ganze Internet zu fördern, haben viele Webbrowser damit begonnen, HTTP-Websites als „nicht sicher“ oder „unsicher“ zu kennzeichnen. Daher ist HTTPS nicht nur für die Sicherheit von Benutzern und Benutzerdaten von entscheidender Bedeutung, sondern auch für die Vertrauensbildung mit Benutzern.