jeremia
Goto Top

Präsentation einer HTTPS Verschlüsselung

Unterlagen

Hallo,

Ich muss ein System Vorstellen, in dem ich die Funktion der https Verschüsselung erklären muss.
Hat jemand eine gute Grafik, Videoanimation oder kann mir jemand einen Link senden, in dem das "einfach" erklärt ist?

Danke für eure Hilfe

Content-ID: 59314

Url: https://administrator.de/contentid/59314

Ausgedruckt am: 19.11.2024 um 10:11 Uhr

spacyfreak
spacyfreak 18.05.2007 um 17:16:29 Uhr
Goto Top
Brauchst Du nur die Grafik, oder auch eine technische Erklärung?
Grafik oder Illustration hab ich keine (nur im Kopf seh ich sie ganz deutlich...). face-wink

Ne Erklärung kannst aber haben wenn du eine brauchst.
Jeremia
Jeremia 18.05.2007 um 17:23:24 Uhr
Goto Top
Ich bin für beides Dankbar.
Aber eine gute erklärung ist schon viel wert. Dann kann ich selbst ein bischen an einer Grafik basteln. Danke
spacyfreak
spacyfreak 18.05.2007 um 17:32:37 Uhr
Goto Top
AAAAAAAAAAlso..

Wir haben einen Webserver.
Wir wollen erreichen, dass Daten von Client zum Webserver für zugreifende Web-Seitenbesucher verschlüsselt erfolgt.

Dazu braucht man

  • ein Schlüsselpaar auf dem Webserver (public u. private key)
  • einen Zertifikatsrequest den der Webserveradmin erzeugt
  • eine Root CA Zertifizierungsstelle, die aus dem Zertifikatsrequest ein Zertifikat bastelt
  • das Root CA Zertifikat der Root CA (wird in den Browser der Clients importiert)

Der Client
Importiert das Zertifikat der Root CA in seinen Browser.

Das hat den Sinn, dass jedes Webserver-Zertifikat, das durch diese Root CA (die der Client als vertrauenswürdig ansehen muss, die gesamte Sache basiert auf VERTRAUEN) siegniert wurde, als vertrauenswürdig eingestuft wird.

Wenn der Client das Root CA Zertifikat NICHT in seien Browser importiert, dann kann er zwar auch problemlos auf den Webserver zugreifen, doch er bekommt immer ne Fehlermeldung, das Webserver Zertifikat wäre nicht vertrauenswürdig, da es entweder nicht von einer vertrauenswürdigen Root CA signiert wurde, oder weil das Root CA zertifikat nicht dem Browser bekannt ist.

Wenn eine Firma wie Verisign das Webserverzertifikat signiert hat, muss der Client garnix importieren, da der Client Webbrowser Root CA Zertifikate von vielen professionellen CAs schon drin hat. Nur wenn die Firma aus Kostengründen eine eigene CA betreibt, und dem Webbrowser diese CA nicht als vertrauenswürdig bekannt ist, muss der client dies tun wenn er sichergehen will, mit dem Webserver verbunden zu sein, den er erwartet.
Sonst kann relativ einfach durch eine Man in the Middle Attacke ein gefälschtes Zertifikat präsentiert werden, und sensible Daten wie Passwörter abgefangen werden, oder der Webserver ist schlicht ein Fake.

Web-Server

Der Webserver hat das Schlüsselpaar. Also private und public key.
Das Zertifikat das der Webserver admin von der Root CA nach dem Request erhalten hat, enthält diesen public key des Schlüsselpaares.
Der private Schlüssel bleibt immer beim Webserver und darf nicht herausgegeben werden - sonst ist die Sicherheit flöten.

Ablauf

1. Client geht auf die Webseite https://blah.com.de
2. Webserver sendet sein zertifikat an den Client
3. Client Browser prüft ob das Zertifikat signiert wurde von einer vertrauenswürdigen CA
4. nein - Fehlermeldung
5. ja - Verbindung zur Webseite ist erfolgt, keine Meldung
6. Alle Daten, die der Client ab jetzt zum Webserver sendet, werden mit dem public key, der im Zertifikat des Webservers enthalten ist, verschlüsselt.
7. Nur der Webserver kann diese DAten wieder entschlüsseln - weil nur er den passenden private Key (das andere Teil des Schlüsselpaares) hat

Fehlermeldungen

Fehlermeldungen, die der Client bekommen kann:
1. Die ausstellende CA ist nicht vertrauenswürdig
2. das zertifikat ist abgelaufen oder noch nicht gültig (siehe Revocation list)
3. der DNS Name im zertifikat entspricht nicht dem Namen des Webservers