HTTPS secure connections for the interwebtz Web Technology - WS 2014 / 15 Stephan Lindauer, Johannes Engl
HTTPSsecure connections for the interwebtzWeb Technology - WS 2014 / 15
Stephan Lindauer, Johannes Engl
Inhalt
●Risiken von HTTP ●Funktionsweise von HTTPS●Kasperletheater●Über dem Tellerrand●Setup von HTTPS auf Webserver
HTTPS
● HyperText Transfer Protocol Secure
● Protokoll um Daten im Web abhörsicher zu übertragen
● Entwickelt von Netscape, first release 1994 mit SSL 1.0
● Syntaktisch identisch mit HTTP
● Verschlüsselung funktioniert mittels SSL/TLS
Crypto 101
“Wenn du Daten mit meinem Public Key verschlüsselst, kann nur ich mit meinem Private Key die Nachricht entschlüsseln”
Private
Public
“plain text”“9adsf89uzasdf908h1289389123h8h”
“plain text”
Crypto 101
“Wenn du Daten mit meinem Public Key verschlüsselst, kann nur ich mit meinem Private Key die Nachricht entschlüsseln”
Private
Public
“plain text”“9adsf89uzasdf908h1289389123h8h”
“plain text”
öffentlich!!!
Crypto 101
“Wenn du Daten mit meinem Public Key verschlüsselst, kann nur ich mit meinem Private Key die Nachricht entschlüsseln”
Private
Public
“plain text”“9adsf89uzasdf908h1289389123h8h”
“plain text”
öffentlich!!!
Crypto 101
“Ich kann dir beweisen, dass ich im Besitz einesbestimmten Geheimnisses bin, ...”
“...ohne dir das Geheimnis zu zeigen!!!”
Verbindungsaufbau
Client Server
Client Hello
Zertifikat, Public Key
Symetrischer Cypher verschlüsselt
GET /
Response
Fragen
● Warum macht man nicht hin und zurück immer Asynchrone Verschlüsselung?
● Wie sicher ist die Verschlüsselung?
Fragen
● Warum macht man nicht hin und zurück immer Asynchrone Verschlüsselung?
● Wie sicher ist die Verschlüsselung?
● Extended vs Normal○ Identität, Adresse, Eigentümer der Domain○ für Behörden, Personengesellschaften,
Kapitalgesellschaften, e.V. und Einzelunternehmer
Probleme mit Zertifikaten
● Extended vs Normal○ Identität, Adresse, Eigentümer der Domain○ für Behörden, Personengesellschaften,
Kapitalgesellschaften, e.V. und Einzelunternehmer
● Zertifikate vs Favicon
Probleme mit Zertifikaten
● Was passiert wenn eine Certificate Authority gehackt wird?
Probleme mit Zertifikaten
● Single point of failure
● Rolle der Browserhersteller
● Was passiert wenn eine Certificate Authority gehackt wird?
Probleme mit Zertifikaten
> 500 Zertifikate
> 5 Monate offen
● IT-Sicherheit, Eckert, Claudia, ISBN: 978-3-486-77848-9● https://www.youtube.com/watch?v=CNXl56HuJaE,
Abgerufen: 10.12.14● http://landofthefreeish.com/security/md5-collision-creates-
rogue-certificate-authority/ Abgerufen: 10.12.14● http://www.heise.de/security/meldung/Der-Diginotar-SSL-
Gau-und-seine-Folgen-1423893.html Abgerufen: 10.12.14
Weiterführende Links