SSL/TLS - Browser Encryption Info

Vorwort


Das weitverbreitete Verschlüsselungsprotokoll SSL (Secure Socket Layer, auch TLS genannt) stellt einen Standard im Internet dar, der sowohl von marktüblichen Browsern, als auch von vielen Server unterstützt wird. Der Unterschied zwischen SSL-Verbindungen und normalen Verbindungen im World Wide Web ist bei der Übertragung zu finden. Denn das Risiko einer unberechtigten Kenntnisnahme der Daten wird deutlich durch die verschlüsselte Übertragung zwischen Browser und Server reduziert. Somit können keine Daten während der Übertragung ausgelesen oder gar Manipuliert werden. Zudem kann man mit einem SSL-Zertifikat die Identität des Anbieters überprüfen.

Eine SSL-Verbindung wird durch die Protokollangabe "https://..." (statt "http://...") aufgebaut. Eine bestehende SSL-Verbindung wird im Browser mit einem geschlossenen Vorhängeschloss bzw. einem nicht durchbrochenem Schlüssel angezeigt. Bei jedem Aufruf einer https-Seite, prüft der Browser, ob der Anbieter der Internetseite ein gültiges SSL-Zertifikat hat. Hat er das nicht, dann gibt der Browser eine Warnmeldung aus.

Verschlüsselungsstärke


Das SSL-Protokoll ermöglicht die Verwendung unterschiedlicher Verschlüsselungsverfahren mit verschiedenen Schlüssellängen. Die aktuell wirksame Verschlüsselung wird beim Verbindungsaufbau, unter Berücksichtigung der jeweils zur Verfügung stehenden Möglichkeiten, zwischen Ihrem Browser und dem Server ausgehandelt. Das heisst also, dass es nicht nur auf den installierten Browser ankommt, welche Verschlüsselungsstärke angewandt wird, sondern auch auf den Kommunikationsserver.

Dabei sind aufgrund von US-amerikanischen Exportbeschränkungen, die bis vor kurzem auch für Deutschland und andere europäische Länder galten, die hierzulande verfügbaren Browser nur mit vergleichsweise schwachen Verschlüsselungsmöglichkeiten ausgestattet. Konkret bedeutet dies, dass die maximal wirksame Schlüssellänge auf nur 40 Bit begrenzt war. Diese ermöglicht einem Angreifer, der über ausreichende Ressourcen verfügt, die Daten einer SSL-geschützten Verbindung zu entschlüsseln und damit zur Kenntnis zu nehmen.

Da sich die rechtlichen Bestimmungen der amerikanischen Regierung im Januar 2000 geändert haben, ist nun auch hierzulande, wie in den USA selbst, eine hohe Verschlüsselungsstärke zu erreichen. Allerdings muss Ihr Browser dazu um die entsprechende Funktion erweitert werden. Aktuelle Versionen stellen die hohe Verschlüsselungsstärke bereits von Beginn an bereit.

Ablauf


Das eingegebene "https" am Anfang einer URL signalisiert dem Browser, dass er vom angesprochenen Server ein Zertifikat anfordern soll. Damit der Server dem Browser ein Zertifikat überhaupt zurückschicken kann, muss er vorher sein Zertifikat von der Zertifizierungsstelle, einer vertrauenswürdigen Institution, erhalten. Anschließend meldet der Server dieses Zertifikat direkt an den Browser zurück. Der Browser erhält dann vom Verzeichnisdienst der Zertifizierungsstelle (z.B. VeriSign) die Information, ob das Zertifikat noch gültig ist. Anhand dieser übermittelten Daten kann der Browser nun überprüfen, ob er wirklich mit dem Server verbunden ist, der in der URL angegeben ist. Ist das der Fall, signalisiert der Browser eine sichere Verbindung. Bis zu diesem Zeitpunkt wurde nur festgestellt ob die Identität des Kommunikationspartners sichergestellt ist. Erst nach dieser Identitätsprüfung verständigen sich die beiden Kommunikationspartner auf einen symmetrischen Schlüssel. Diese Verständigung findet in einer sicheren asymmetrischen Verschlüsselung statt. Um wirklich auf Nummer sicher zu gehen, schickt der Browser dem Server vor dem Beginn des eigentlichen Datenaustausches einige Testnachrichten. Diese kann der Server nur beantworten, wenn es wirklich der Server ist, der er zu sein vorgibt.

Browsertyp


Ob nun "Internet Explorer", "Netscape", "Mozilla" oder "Opera". Mit jedem dieser Browser lässt sich mindestens eine 128 Bit Verschlüsselung erreichen. Bitte spielen Sie dazu die entsprechenden Updates auf Ihren Rechner.

Wenn Sie die Verschlüsselungsstärke Ihres Browsers testen möchten, dann führen Sie einfach den SSL Check der Firma Fortify aus.

Links

Unfähig oder verantwortungslos? Erzeugung von defekten https Seiten
http://www.heise.de/security/artikel/40073

Microsoft, Symantec & Co schlampen bei Verschlüsselung
http://www.heise.de/newsticker/data/ju-05.09.03-001/



Nächste Seite: SSL - Server Check