...

Funktionsweise SSL, TLS

Im Zusammenhang mit digitaler Technik geht es mittlerweile nicht mehr um Rekorde à la Olympia nach dem Motto „schneller, höher, weiter“. Die Leistungsfähigkeit von Endgeräten, die immer rasanteren Übertragungsraten oder die Vielfalt an komfortablen Apps sind eine Sache. Eine andere Sache ist, dass wir beim Surfen, bei der Benutzung von Social Media und anderen Diensten im Internet praktisch jede Sekunde Fakten über uns selbst preisgeben, die nicht in jedermanns Hände gelangen sollen. Dazu gehören Adressen, Bankkonten, Kreditkartennummern und andere sensible Daten.

Das Schlagwort der Stunde heißt vielmehr: Sicherheit. Oder: Wie kann ich aktiv und passiv dafür sorgen, dass meine Daten, die ich via Internet preisgebe und rund um den Globus schicke, vor einem missbräuchlichen Zugriff seitens Dritter geschützt sind? Hier helfen Funktionen wie SSL und TLS, Verschlüsselungsmethoden, die dafür sorgen sollen, dass ich in der digitalen Welt sicher unterwegs bin.

Funktionsweise eines SSL-Zertifikats

SSL (Secure Sockets Layer) ist ein Protokoll für die Authentifizierung und Verschlüsselung von Verbindungen im Internet. Das ursprüngliche Verfahren des SSL ist mittlerweile überholt und wurde von TLS (Transport Layer Security = Transportschichtsicherheit) abgelöst. Im allgemeinen Sprachgebrauch hat sich die Bezeichnung SSL aber bis heute erhalten.

Um die Funktionsweise zu erklären, nehmen wir als Beispiel die Bestellung eines Kunden in einem Online Shop. Eine verschlüsselte SSL-Verbindung wird stets vom Client (hier der Kunde) aufgebaut. Dabei kommt es zunächst zum so genannten Handshake, bei dem für die Sitzung ein Verschlüsselungsparameter generiert wird. Der Server des Shops antwortet dann, indem er mit seinem SSL-Zertifikat seinen öffentlichen Schlüssel an den Client sendet. Bei diesem wiederum wird das Zertifikat an Hand einer Liste von bekannten CAs – Certificate oder Certification Authority = Zertifizierungsstelle für digitale Zertifikate – authentifiziert. Ist die CA nicht bekannt, öffnet sich bei den meisten Browsern ein Fenster, das dem Benutzer die Möglichkeit gibt, das Zertifikat auf eigene Verantwortung zu akzeptieren oder abzulehnen.

Nun generiert der Client einen symmetrischen Schlüssel, der mit dem öffentlichen Schlüssel des Servers verschlüsselt wird und schickt ihn zurück. Anschließend kennen sowohl Client als auch Server den Code für die Verschlüsselung der Benutzerdaten, und die sichere Verbindung ist aufgebaut.

Unterschiede zwischen gängigen SSL-Zertifikaten

Es gibt diverse Varianten von SSL-Zertifikaten, die vom Bedarf des Antragstellers abhängen und auch unterschiedlich teuer sind. Faktoren sind zum Beispiel die Verschlüsselungsstärke (die Standardwerte sind 128 Bit bzw. 256 Bit), die Art der Validierung sowie die Browserkompatibilität bzw. -akzeptanz.

Domainvalidierte Zertifikate (Domain Validation)

Die weiteste Verbreitung haben domainvalidierte Zertifikate. Über einen regulierten E-Mail-Verkehr prüft die Zertifizierungsstelle, ob der Antragssteller für ein SSL-Zertifikat auch wirklich der Inhaber der Domain ist. Nach der Bestätigung erfolgt die Ausstellung eines des Zertifikats innerhalb kürzester Zeit. Diese Variante kommt meist bei kleinen Webseiten, Blogs, Foren, Mailservern und Intranetanwendungen zum Einsatz und ist die preiswerteste Alternative.

Organisationsvalidierte Zertifikate (Organisation Validation)

Etwas komplizierter gestaltet sich der Prozess bei einem organisationsvalidierten Zertifikat. Hier wird nicht nur die Domain gecheckt, sondern zusätzlich noch eine Prüfung der Identität vorgenommen. Der Webseitenbetreiber – in der Regel ein Unternehmen – muss mit bestimmten Dokumenten nachweisen, dass er wirklich der Domaininhaber ist. Die Identitätsprüfung für das Zertifikat unterscheidet sich von Anbieter zu Anbieter. Normalerweise wird ein Auszug aus dem Handelsregister verlangt, ein Abgleich mit den Bankdaten vorgenommen und ein telefonischer Kontakt zwischen Antragsteller und Anbieter hergestellt. Organisationsvalidierte Zertifikate eignen sich für Unternehmensseiten, Webshops und Webmail.

Extended Validation

Eine dritte Version ist die Extended Validation. Solcherart zertifizierte Webseiten sind an der grünen Schrift in der Adresszeile des Browsers zu erkennen. Dieses optische Feedback zeigt an, dass es sich um eine besonders vertrauenswürdige Verbindung handelt. Wer seinen Zahlungsverkehr per Online Banking abwickelt, kennt dies von Banken und Sparkassen. Die Zertifizierungsstelle geht hier ähnlich vor wie bei organisationsvalidierten Zertifikaten, prüft aber zusätzlich, ob der Antragsteller wirklich ein Mitarbeiter des jeweiligen Unternehmens ist und über die Berechtigung verfügt, ein Extended-Validation-Zertifikat zu erwerben.

EV-Zertifikate werden grundsätzlich mit 256 Bit verschlüsselt und erzielen die größtmögliche Akzeptanz bei allen Browsern. Außer der schon erwähnten grünen Schrift erscheint in der Adresszeile auch der Name und der Sitz des Unternehmens.

Welche Zertifizierungsstelle ist die richtige?

Es gibt eine Vielzahl von Zertifizierungsstellen (Certificate Authority – CA) in verschiedenen Ländern, so dass ein Interessent leicht den Überblick verlieren kann. Häufig lässt sich nicht nachvollziehen, welches Unternehmen oder welche Regierungsstelle sich dahinter verbirgt. Kritiker sprechen mittlerweile von einer „Zertifizierungs-Lotterie“, die nur wenig Transparenz und Vertrauenswürdigkeit bietet. Komplett in deutscher Hand ist auf jeden Fall die Bundesdruckerei mit ihrem Ableger D-Trust. Viele andere Stellen arbeiten mit US-amerikanischen Zwischenzertifikaten, bei denen man aber spätestens seit der Affäre um den Geheimdienst NSA seine Zweifel haben muss, ob die eigenen Daten damit wirklich geschützt sind.

Google bevorzugt Seiten mit SSL-Verschlüsselung

Im Jahr 2014 hat Google bekannt gegeben, dass die Suchmaschine nun über einen Algorithmus verfügt, der SSL-zertifizierte Seiten bevorzugt behandelt und im Ranking stärker berücksichtigt als Seiten ohne Zertifikat. Unter Kennern galt dieser Schritt damals als geradezu sensationell, denn Google schweigt sich in der Regel vollständig über die Art und Wirkungsweise seiner Algorithmen aus. Das Unternehmen hat sich allerdings vorgenommen, die Sicherheit im Internet mehr und mehr zu verbessern. Wahrscheinlich war dies der Grund für die öffentliche Stellungnahme.

Ein Blick in die Zukunft der Verschlüsselung

Ein zukunftsweisendes Projekt bezüglich Verschlüsselung ist „Let’s Encrypt“ (deutsch „Lasst uns verschlüsseln!“), das von der kalifornischen Internet Security Research Group (ISRG) vorangetrieben wird. Damit soll es künftig für jeden Webseitenbetreiber möglich sein, seine Domain auf einfache Weise und völlig kostenlos mit einem SSL-Zertifikat zu versehen, das von den gängigen Browsern als vertrauenswürdig angesehen und akzeptiert wird. Verschlüsselte HTTPS-Verbindungen könnten somit schon bald zum Webstandard werden und für mehr Sicherheit und Datenschutz sorgen. Mitglieder der ISRG sind die Mozilla Foundation, Cisco, Akamai sowie die Electronic Frontier Foundation.

Aktuelle Artikel