Angriffe auf HTTPS-Verbindungen

Eingeklinkt

HTTPS schützt eine Verbindung sowohl vor dem Abhören als auch vor Manipulationen. Aber nur, wenn sich ein Angreifer nicht in die abgesicherte Verbindung zwischen Client und Server drängeln kann – was einem "Man in the Middle", der bereits in der Internetverbindung sitzt, mit dem richtigen Werkzeug leichtfällt. Wo die Schwächen in HTTPS-Verbindungen liegen und wie Sie sich auf Client- und Serverseite davor schützen, zeigt dieser Beitrag.
IT-Administrator startet mit einem Blick in die Zukunft in das neue Jahr. So dreht sich der Heftschwerpunkt der Januar-Ausgabe um das Thema 'Future Networks'. ... (mehr)

HTTPS funktioniert aus Anwendersicht ganz einfach: Wenn Sie im Webbrowser durch den Aufruf eines HTTPS-Links eine sichere Verbindung etwa zu Ihrer Bank aufbauen, stellt Ihr Browser zunächst eine unverschlüsselte Verbindung zum angegebenen Server her. Der weist sich mit einem Zertifikat aus, das seinen öffentlichen Schlüssel und die Signatur eines vertrauenswürdigen Dritten, einer sogenannten Zertifizierungsstelle (Certificate Authority, CA), enthält. Die CA bestätigt durch ihre Signatur, dass der Schlüssel zum im Zertifikat angegebenen Server gehört. Ihr Browser prüft das Zertifikat. Dazu enthält er ab Werk eine Liste von aus Sicht des jeweiligen Browserherstellers vertrauenswürdigen CAs. Wurde das Zertifikat nicht von einer dieser CAs ausgestellt, ist die Signatur nicht korrekt oder passt sie nicht zum Server, gibt der Browser eine Warnung aus und beendet den Verbindungsaufbau, sofern Sie die potenziell unsichere Verbindung nicht trotzdem verlangen.

Verläuft die Prüfung erfolgreich (oder stimmen Sie trotz Fehlers dem Verbindungsaufbau zu), erzeugt der Browser einen symmetrischen Schlüssel, der nur für die aktuelle Sitzung verwendet wird, den sogenannten Sitzungsschlüssel oder Session Key. Der wird mit dem öffentlichen Schlüssel des Webservers verschlüsselt und an den Webserver gesendet. Nachdem der Webserver den Sitzungsschlüssel mit seinem privaten Schlüssel entschlüsselt hat, besitzen sowohl Webbrowser als auch Webserver einen gemeinsamen Schlüssel für das symmetrische Kryptoverfahren, mit dem sie alle weiteren zu übertragenen Daten verschlüsseln können (Bild 1).

Dieses Verfahren hat jedoch einen Nachteil: Der Sitzungsschlüssel ist Teil der Kommunikation. Jemand, der die verschlüsselte Kommunikation aufzeichnet und später an den privaten Schlüssel des Servers gelangt, kann ihn und danach die gesamte Kommunikation entschlüsseln. Sicherer ist es daher, den Schlüssel mit dem Diffie-Hellman-Schlüsselaustausch zu

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019