yanmai
Goto Top

Wie funktioniert eine HTTPS Verschlüsselung?

Hallo ihr Administratoren,
ich werde mir jetzt doch ein SSL Zertifikat kaufen. Mir schwebt dieses hier vor: https://alfahosting.de/ssl-zertifikate-vergleich/ das erste für 1,69€

Wenn die C# Anwendung jetzt Daten über die HTTPS Verbindung an den Server sendet, werden diese Daten dann automatisch verschlüsselt? Bzw. kann man die Daten mit diesem Zertifikat dann mitlesen / manipulieren? Mir ist wichtig, dass nicht jeder die Daten manipulieren kann. Gerade wenn man in dem Admin Programm wichtige Änderungen vornimmt, die nur bestimmte Personen durchführen müssen. Ist diese Verbindung dann sicher und wie muss ich mir die Verschlüsselung vorstellen?

Content-ID: 321415

Url: https://administrator.de/forum/wie-funktioniert-eine-https-verschluesselung-321415.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

aqui
aqui 18.11.2016 um 15:39:14 Uhr
Goto Top
Pjordorf
Pjordorf 18.11.2016 um 15:52:26 Uhr
Goto Top
Hallo,

Zitat von @Yanmai:
ich werde mir jetzt doch ein SSL Zertifikat kaufen.
Wegen deinem Wie sieht ein Datenpaket im http Protokoll aus?

Daten über die HTTPS Verbindung an den Server sendet, werden diese Daten dann automatisch verschlüsselt?
Was ist / macht https? https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure

Bzw. kann man die Daten mit diesem Zertifikat dann mitlesen / manipulieren?
Grob gesagt https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure#Angriff ...

Mir ist wichtig, dass nicht jeder die Daten manipulieren kann
Definiere hier jeder und oder deine transportwege und ansatzpunkte deinen Datenverkehr abzuhören bzw. Mitzuschneiden? Ein Jack Reacher oder Ethan Hunt oder die NSA (BND) wird da schon an deine Daten kommen wenn die wollenface-smile. Definiere also welche Sicherheit du erwartest bzw. welche Sicherheitstufe erfüllt werden muss. Beispiel: http://www.nickles.de/c/s/der-glaube-an-die-army-9-1.html

Gruß,
Peter
Vision2015
Vision2015 18.11.2016 um 16:16:39 Uhr
Goto Top
Zitat von @Yanmai:

Hallo ihr Administratoren,
Hallo Lieber Administrator.de User
ich werde mir jetzt doch ein SSL Zertifikat kaufen. Mir schwebt dieses hier vor: https://alfahosting.de/ssl-zertifikate-vergleich/ das erste für 1,69€
nun, da geh besser mal direkt zu Comodo, oder Startssl oder letsencrypt.org

Wenn die C# Anwendung jetzt Daten über die HTTPS Verbindung an den Server sendet, werden diese Daten dann automatisch verschlüsselt? Bzw. kann man die Daten mit diesem Zertifikat dann mitlesen / manipulieren? Mir ist wichtig, dass nicht jeder die Daten manipulieren kann. Gerade wenn man in dem Admin Programm wichtige Änderungen vornimmt, die nur bestimmte Personen durchführen müssen. Ist diese Verbindung dann sicher und wie muss ich mir die Verschlüsselung vorstellen?
von was für einer C# Anwendung redest du den ?
und mit welchem Admin Programm ?
nun, Peter hat dir schon einiges zum Lesen gegeben- hast du da noch fragen ?

Gruß Frank
certifiedit.net
certifiedit.net 18.11.2016 um 19:35:02 Uhr
Goto Top
Hi,

Du wirst vmtl. mit dem Alfahosting Zert nur Alfahosting Seiten verschlüsseln können.

VG
131381
131381 19.11.2016 aktualisiert um 10:36:31 Uhr
Goto Top
Zitat von @Yanmai:
Wenn die C# Anwendung jetzt Daten über die HTTPS Verbindung an den Server sendet, werden diese Daten dann automatisch verschlüsselt?
Das Zertifikat wird nur auf dem Server eingesetzt der die Dienste bereitstellt.
Stellt der Client eine Verbindung zum SSL geschützten Server her vergewissert sich der Client nach der ersten Anfrage zuerst ob er dem öffentlichen Teil des Zertifikats welchen der Server an den Client ausliefert vertraut, er schaut also ob der Hash der CA in seinen vertrauenswürdigen Zertifizierungsstellen enthalten ist und ob der Common Name dem angesprochenen Domainnamen entspricht und ob die Gültigkeit noch nicht abgelaufen ist. Ist das der Fall handeln Server und Client einen sicheren Kanal aus über den dann sämtliche Daten dieser Session verschlüsselt übertragen werden, solange bis einer von beiden die Session beendet.

Bzw. kann man die Daten mit diesem Zertifikat dann mitlesen / manipulieren?
Abhören bzw. Daten im Klartext lesen kann man nur dann wenn jemand im Besitz des privaten Schlüssels des Zertifikats ist. Deswegen muss dieser immer bestmöglich geschützt werden.
Wenn man also das Zertifikat auf dem Produktivserver importiert sollte man niemals den privaten Key als Exportierbar markieren. Er ist zwar zusätzlich durch ein Passwort geschützt, trotzdem sollte man diese Maßnahme immer befolgen.

Mir ist wichtig, dass nicht jeder die Daten manipulieren kann.
Gegen ManInTheMiddle Atacken bei der ein Angreifer ein manipuliertes SSL Zertifikat an den Client ausliefert schützt zusätzlich PublicKeyPinning und HSTS auf dem Server. Dann akzeptieren Clients nur noch ganz bestimmte Zertifikate und keine illegal von anderen CAs ausgestellte Fake-Zertifikate.
Wenn du einen eigenen Client einsetzt musst du diese Verifikation natürlich selbst implementieren.

Gruß