Basiswissen (Hintergrundwissen) - sInternet - Sicheres Internet

Seite 2/3
Geändert am 27.06.2007
SSL - Erläuterung
SSL gestaltet sich für den Benutzer an sich transparent, also nicht wirklich ersichtlich, da nur die Anwendungen (zum Beispiel Webserver und Browser) selbst dies bewerkstelligen müssen. Als erstes unterscheiden wir zwischen Netzwerk- und Anwendungsebene.

Netzwerkebene: Wenn SSL verwendet werden soll, handeln Server und Client als erstes die Verschlüsselung selbst aus.

SSL - Erläuterung Zertifikate
Die Verwaltung von SSL-Zertifikaten ist hierarchisch aufgebaut. An oberster Stelle befinden sich sogenannte CA's (»Certificate Authority«), das sind unabhängige Zertifizierungstellen, die entsprechende Zertifikate signieren. Um sichergehen zu können, daß ein Zertifikat vertrauenswürdig ist, reicht es nicht, wenn es von einer CA signiert wurde, sondern diese CA muß auch vertrauenswürdig sein. Dafür sind entsprechende Zertifikate von den Browserherstellern schon implementiert worden (Verisign*, SecureNet*, Thawte* und TrustCenter* sind die bekanntesten „anerkannt“ vertrauenswürdigen CA's). Die oberste signierende CA wird auch »rootCA« genannt.

Der einfachste Weg wäre also, man erstellt sich ein Zertifikat, läßt es von einer CA signieren, die im Internet-Browser als vertrauenswürdig enthalten ist, und verwendet dieses Zertifikat als Serverzertifikat (ein weiterer Name wäre zum Beispiel Sicherheitszertifikat). Allerdings kostet diese Signierung entsprechendes Geld, je nach Art des zu signierenden Zertifikats. Aus verständlichen Grund, denn der Betreiber der CA muß die Hard- und Software beschaffen und betreiben, und auch sicherstellen, daß keine unbefugten Personen zugriff auf diese CA erhalten, denn dann kann diese CA nicht mehr als Vertrauenswürdig angesehen werden, was nicht nur Mißbrauch der Zertifikate und den Ruin der CA-Firma bedeutet, sondern auch den Verlust der Vertrauenswürdigkeit aller signierten Zertifikate.

Standardmäßig verwenden die meisten Webserver „eigensignierte“ Zertifikate. Eigensigniert deswegen, weil keine anerkannt vertrauenswürdige CA diese Zertifikate signierte. Eine eigene CA kann zum Beispiel mit openSSL oder Microsoft* Windows* 2003 Server eingerichtet werden. Mit dieser signiert man alle Zertifikate, die man benötigt. Viele Unternehmen setzen diese gerade im Bereich Datenaustausch mit Kunden / Lieferanten ein. In diesen Fällen ist die eigene CA's die »rootCA«. Um in diesem Fall eine Vertrauensstellung zu erlangen, muß der andere nur das CA-Zertifikat in seine Anwendungen integrieren, so wie die Zertifikate der oben genannten CA's im Internet-Browser vorhanden sind.


VORHERIGE SEITE       NÄCHSTE SEITE       ZUM SEITENANFANG