Angriffe auf HTTPS-Verbindungen

Eingeklinkt

HTTPS schützt eine Verbindung sowohl vor dem Abhören als auch vor Manipulationen. Aber nur, wenn sich ein Angreifer nicht in die abgesicherte Verbindung zwischen Client und Server drängeln kann – was einem "Man in the Middle", der bereits in der Internetverbindung sitzt, mit dem richtigen Werkzeug leichtfällt. Wo die Schwächen in HTTPS-Verbindungen liegen und wie Sie sich auf Client- und Serverseite davor schützen, zeigt dieser Beitrag.
IT-Administrator startet mit einem Blick in die Zukunft in das neue Jahr. So dreht sich der Heftschwerpunkt der Januar-Ausgabe um das Thema 'Future Networks'. ... (mehr)

HTTPS funktioniert aus Anwendersicht ganz einfach: Wenn Sie im Webbrowser durch den Aufruf eines HTTPS-Links eine sichere Verbindung etwa zu Ihrer Bank aufbauen, stellt Ihr Browser zunächst eine unverschlüsselte Verbindung zum angegebenen Server her. Der weist sich mit einem Zertifikat aus, das seinen öffentlichen Schlüssel und die Signatur eines vertrauenswürdigen Dritten, einer sogenannten Zertifizierungsstelle (Certificate Authority, CA), enthält. Die CA bestätigt durch ihre Signatur, dass der Schlüssel zum im Zertifikat angegebenen Server gehört. Ihr Browser prüft das Zertifikat. Dazu enthält er ab Werk eine Liste von aus Sicht des jeweiligen Browserherstellers vertrauenswürdigen CAs. Wurde das Zertifikat nicht von einer dieser CAs ausgestellt, ist die Signatur nicht korrekt oder passt sie nicht zum Server, gibt der Browser eine Warnung aus und beendet den Verbindungsaufbau, sofern Sie die potenziell unsichere Verbindung nicht trotzdem verlangen.

Verläuft die Prüfung erfolgreich (oder stimmen Sie trotz Fehlers dem Verbindungsaufbau zu), erzeugt der Browser einen symmetrischen Schlüssel, der nur für die aktuelle Sitzung verwendet wird, den sogenannten Sitzungsschlüssel oder Session Key. Der wird mit dem öffentlichen Schlüssel des Webservers verschlüsselt und an den Webserver gesendet. Nachdem der Webserver den Sitzungsschlüssel mit seinem privaten Schlüssel entschlüsselt hat, besitzen sowohl Webbrowser als auch Webserver einen gemeinsamen Schlüssel für das symmetrische Kryptoverfahren, mit dem sie alle weiteren zu übertragenen Daten verschlüsseln können (Bild 1).

Dieses Verfahren hat jedoch einen Nachteil: Der Sitzungsschlüssel ist Teil der Kommunikation. Jemand, der die verschlüsselte Kommunikation aufzeichnet und später an den privaten Schlüssel des Servers gelangt, kann ihn und danach die gesamte Kommunikation entschlüsseln. Sicherer ist es daher, den Schlüssel mit dem Diffie-Hellman-Schlüsselaustausch zu

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Systeme mit Vamigru verwalten

Auch wer nur kleine Flotten von Linux-Servern verwaltet, freut sich über Werkzeuge, die ihm diese Arbeit erleichtern. Vamigru tritt mit diesem Versprechen an. Wir verraten, was es leistet und wie Sie es in der eigenen Umgebung in Betrieb nehmen. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite