SECURITY-THEMEN

Was sind SSL, TLS und HTTPS?

Bei Symantec SSL/TLS-Zertifikaten haben Sie jetzt die Auswahl zwischen drei verschiedenen Verschlüsselungsalgorithmen: RSA und ECC. Dies soll Ihnen helfen, die Zukunft für Ihr Unternehmen sicherer und skalierbarer zu gestalten.

Was sind SSL, TLS und HTTPS?

  • SSL steht für "Secure Sockets Layer" und ist die Standardtechnologie für die Absicherung von Internetverbindungen und den Schutz sensibler Daten, die zwischen zwei Systemen übertragen werden. So wird verhindert, dass Kriminelle übertragene Informationen, einschließlich potenzieller persönlicher Daten, lesen und verändern. Bei diesen beiden Systemen kann es sich um einen Server und einen Client (z. B. eine Shopping-Website und ein Browser) oder um eine Übertragung von einem Server auf einen anderen (z. B. eine Anwendung mit personenbezogenen Daten oder Gehaltsinformationen) handeln.
  • SSL stellt sicher, dass zwischen Benutzern und Websites oder zwischen zwei Systemen übertragene Daten nicht gelesen werden können. Dazu werden Verschlüsselungsalgorithmen verwendet, um Daten während der Übertragung zu codieren und so zu verhindern, dass Hacker die Daten lesen können, während sie über die Verbindung gesendet werden. Diese Informationen können sensible oder persönliche Daten wie beispielsweise Kreditkartennummern und andere Finanzinformationen oder Namen und Adressen beinhalten.
  • TLS (Transport Layer Security) ist lediglich eine aktualisierte Version von SSL, die höhere Sicherheit bietet. Wir bezeichnen unsere Sicherheitszertifikate weiterhin als SSL, da dieser Begriff am geläufigsten ist. Wenn Sie jedoch SSL von Symantec erwerben, kaufen Sie tatsächlich die aktuellsten TLS-Zertifikate mit der Option der ECC- oder RSA-Verschlüsselung.
  • HTTPS (Hyper Text Transfer Protocol Secure) wird in der URL angezeigt, wenn eine Website durch ein SSL-Zertifikat abgesichert ist. Angaben zum Zertifikat, wie die ausstellende Zertifizierungsstelle und der Firmenname des Website-Betreibers, können durch Klicken auf das in der Browser-Leiste angezeigte Vorhängeschloss angezeigt werden.
Website-Sicherheit

Wie funktioniert ein SSL/TLS-Zertifikat?

Das Grundprinzip ist einfach: Wenn Sie ein SSL-Zertifikat auf Ihrem Server installieren und ein Browser eine Verbindung zu diesem Server herstellt, aktiviert das vorhandene SSL-Zertifikat das SSL (oder TLS)-Protokoll, das wiederum die zwischen dem Server und dem Browser (oder zwischen Servern) gesendeten Informationen verschlüsselt. Wie das Ganze im Detail funktioniert, ist natürlich etwas komplizierter.

SSL wird direkt über dem Transmission Control Protocol (TCP) ausgeführt und funktioniert wie eine Sicherheitsschicht. Höhere Protokollschichten können auf diese Weise unverändert bleiben, während gleichzeitig eine sichere Verbindung bereitgestellt wird. Unterhalb der SSL-Schicht können die anderen Protokollschichten wie gewohnt ausgeführt werden.

Bei der ordnungsgemäßen Verwendung eines SSL-Zertifikats kann ein Angreifer lediglich sehen, welche IP und welcher Port verbunden sind und wie viele Daten ungefähr gesendet werden. Er kann die Verbindung zwar möglicherweise beenden, doch sowohl der Server als auch der Benutzer können dann erkennen, dass dies durch einen Dritten veranlasst wurde. Jedoch kann der Angreifer keine Informationen abfangen, sodass dieser Schritt im Wesentlichen ineffizient ist.

Der Hacker kann gegebenenfalls in Erfahrung bringen, mit welchem Hostnamen der Benutzer verbunden ist, aber nicht – was entscheidend ist – den Rest der URL. Da die Verbindung verschlüsselt ist, bleiben die wichtigen Informationen geschützt.

 

1. SSL wird aktiviert, nachdem die TCP-Verbindung hergestellt wurde, und initiiert einen sogenannten SSL-Handshake.

2. Der Server sendet sein Zertifikat zusammen mit einer Reihe von Spezifikationen (einschließlich welche SSL/TLS-Version und welche Verschlüsselungsmethoden eingesetzt werden sollen sowie weitere Informationen) an den Benutzer.

3. Der Benutzer überprüft dann die Gültigkeit des Zertifikats und wählt die höchste Verschlüsselungsstufe aus, die von beiden Parteien unterstützt wird. Anschließend wird eine sichere Sitzung mithilfe dieser Methoden gestartet. Es gibt eine große Anzahl von Methodensammlungen mit unterschiedlichen Stärken. Diese werden als "Cipher Suites" bezeichnet.

4. Um die Integrität und Authentizität aller übertragenen Nachrichten zu gewährleisten, enthalten SSL- und TLS-Protokolle einen Authentifizierungsprozess, der Message Authentication Codes (MAC) verwendet. Das Ganze mag zwar etwas langwierig und kompliziert klingen, doch in der Realität wird der gesamte Prozess ohne merkliche Verzögerung ausgeführt.

Was ist ein SSL/TLS-Zertifikat?

Wie funktionieren SSL/TLS und HTTPS?

Ob als Einzelpersonen oder Unternehmen – Sie sollten Online-Sicherheit auf dieselbe Weise angehen wie die physische Sicherheit Ihres Zuhauses oder Ihrer Firma.

MEHR ERFAHREN

Was sind EV SSL/TLS-Zertifikate?

Symantec SSL/TLS-Zertifikate mit Extended Validation (EV) bieten Lösungen, die es Unternehmen und Verbrauchern ermöglichen, sicher online zu kommunizieren und Geschäfte abzuwickeln.

Weiterlesen

FATCA-Daten mit Symantec Secure Site SSL-Zertifikat

FATCA-Daten mit Symantec Secure Site SSL-Zertifikat

Der von den USA 2010 erlassene Foreign Account Tax Compliance Act (FATCA) soll die Steuertransparenz verbessern
sowie Steuerhinterziehungen durch US-Steuerpflichtige bekämpfen.

Weiterlesen

Clientzertifikate und Serverzertifikate

Clientzertifikate und Serverzertifikate: Wodurch unterscheiden sie sich?

Bei der Erwähnung von  PKI  oder "Clientzertifikaten" denken viele Menschen an Unternehmen, die damit beschäftigt sind, die Online-Transaktionen ihrer Kunden zu schützen und abzuwickeln. Doch diese Zertifikate finden sich überall in unserem Alltag und es gibt sie in zahlreichen Variationen, beispielsweise wenn wir uns bei einem VPN einloggen, Geld an einem Bankautomaten abheben, uns mithilfe einer Karte Zutritt zu einem Gebäude verschaffen oder eine Oyster-Smartcard im Londoner öffentlichen Nahverkehr nutzen.

Weiterlesen

Community beitreten

Nehmen Sie an Security-Diskussionen auf Symantec Connect teil

SYMANTEC CONNECT

Folgen Sie Threat Intelligence auf Twitter @Threatintel

SYMANTEC ON TWITTER

Sehen Sie sich Videos auf dem Symantec Website Security YouTube-Kanal an.

SYMANTEC ON YOUTUBE