SSL - sichere Datenübertragung für sensible Daten

SSL-Zertifikat mit 2048-Bit-Verschlüsselung

 

Sie haben sicher bereits in einem Online-Shop etwas bestellt? Oder PayPal genutzt um etwas zu bezahlen? Dann wird Ihnen in Ihrem Browserfenster sicher aufgefallen sein, dass neben der Adresszeile der Webseite die Sie aufgerufen haben ein farbiger Balken erscheint. Mal ist er blau, mal grün, manchmal auch rot. Das sind die Kennzeichnungen für eine sichere Übertragung der von Ihnen eingegebenen Daten an die Webseite. Die Technologie dahinter heißt SSL (Secure Sockets Layer) oder auch TLS (Transport Layer Security).

Was ist es?

Bei jeder Webseite, die Sie im Browser aufrufen, werden zwischen Ihrem Computer und dem Computer auf dem die Webseite liegt (dem Server) eine Menge von Daten übertragen. Auf dem Weg zwischen Ihrem Computer und dem Server nehmen die Daten unterschiedliche Wege über andere, eigentlich aus Ihrer Sicht völlig unbeteiligte Router und Server.

Ein eigentlich unbeteiligter Computer könnte diesen ungesicherten Datenstrom mitschneiden und analysieren. Wenn Sie nun an den Server einige sensible Daten, wie z.B. Ihre Bank-Daten, geschickt haben, dann könnte derjenige der diesen Datenstrom analysiert diese Daten ermitteln und für eigene Zwecke missbrauchen.

Aus diesem Grund entwickelten Mitte der 1990er Jahre damalige Browserhersteller eine Technik um Datenströme zwischen einem Computer und einem Server sicher zu übertragen. Diese Technik nennt man SSL oder TLS, die dafür eingesetzten digitalen Dokumente Zertifikate.

Ein Zertifikat kann in unterschiedlichen Verschlüsselungsstufen ausgestellt werden. Üblich sind heute mit 1024- oder 2048 Bit verschlüsselte Zertifikate. Ein Zertifikat bzw. eine SSL-Verbindung ist nur so sicher, wie die Verschlüsselung es erlaubt. Beide genannten Verschlüsselungen können bislang (noch) nicht geknackt werden und stellen somit noch einige Jahre eine zuverlässige Verbindung her.

Was kann es?

SSL stellt sicher, dass ein Datenpaket, welches über den Datenstrom abgeschickt wurde, auch nur vom empfangenden Server angenommen wird. Der dabei genutzte Datenstrom wird verschlüsselt übertragen. Andere Computer können diesen nicht auslesen oder folgen.

Das Ganze funktioniert in dieser Reihenfolge:

1. Computer und Server begrüßen sich ohne weiteren Datenaustausch.
2. Der Server schickt an den Computer die Informationen wer er ist. Diese Informationen nennt man Zertifikat.
3. Der Computer analysiert das erhaltene Zertifikat und vergleicht es mit einer Datenbank für Zertifikatsaussteller.
   Wenn das Zertifikat ok ist, dann wird der Verbindungsaufbau fortgesetzt indem der Computer einen öffentlichen Schlüssel aus dem Zertifikat ermittelt. Auf Grundlage dieses öffentlichen Schlüssels wird eine eindeutige, verschlüsselte, nur für diese Verbindung gültige Informationnamens Master Secret ermittelt.
   Wenn es einen Fehler gibt, wird die Verbindung abgebrochen und der Aufruf des Servers gesperrt.
4. Der Computer schickt den Master Secret an den Server zurück. Der Server entschlüsselt dieses mit Hilfe seines Zertifikats und den Informationen wer dieses ausgestellt hat. Ist dieser Vorgang erfolgreich akzeptiert der Server die Verbindung und etabliert eine auf Grundlage der Zertifikatsdaten verschlüsselte Übertragung zwischen sich und dem Computer.

Die Voraussetzungen für eine SSL-Verbindung sind folglich:

• ein Server der ein entsprechendes SSL-Zertifikat bereitstellt
• ein Computer der auf die Datenbank der Zertifikatsaussteller zugreifen kann (ist heute in jedem Betriebssystem integriert, Änderungen an den Datenbanken kommen z.B. über das Windows Update)

Zertifizierungsstellen gibt es weltweit nur relativ wenige. Dabei handelt es sich um Unternehmen oder öffentliche Einrichtungen, welche von der Verwaltung des Internets (ICANN) hierfür beauftragt wurden. Dazu müssen sie in ihren eigenen Räumen sehr hohe Sicherheitsstandards erfüllen. Sie bieten Zertifikate in unterschiedlichen Validierungsstufen an. Die kleinste Stufe ermöglicht eine einfache Verschlüsselung mit 1024 Bit. Höhere Validierungen ermöglichen eine Verschlüsselung mit 2048 oder mehr Bit.

Wie erkenne ich es?

Mit SSL gesicherte Verbindungen erkennt man im Browser an entsprechenden Hinweisen. Meist sind es farbliche Hervorhebungen zusammen mit der Information für wen das Zertifikat ausgestellt wurde. Je nach eingesetzter Validierung, haben diese Hinweise im Browser unterschiedliche Farben. Blau sind niedrig validierte, grün höher validierte Zertifikate. In älteren Browsern wird lediglich ein Schloss angezeigt.

Die URL der mit SSL gesicherten Webseite beginnt meist mit "https://" statt wie sonst "http://". Alternativ kann auch der Port 443, über den diese Verbindungen meist laufen, direkt an dem Host in der URL angehängt werden ("http://www.example.com:443").

Entscheidungshilfe

Als Internetnutzer sollte man jederzeit darauf achten, an wen man wie welche Daten verschickt. Gerade Bank-Daten oder ärztliche Informationen sind sehr sensibel und sollten grundsätzlich über SSL verschlüsselt übertragen werden. Achten Sie daher auf die Meldungen Ihres Browsers, wenn Sie eine Bestellung in einem Onlineshop oder eine Bezahlung bei PayPal oder eBay tätigen.

Als Webseitenbesitzer sollten Sie sich ein eigenes SSL-Zertifikat holen, sobald Sie von Ihren Benutzern sensible Daten abfordern. Dies ist z.B. in Onlineshops fast immer der Fall. Ein Zertifikat kann Ihnen von Ihrem Webhoster eingerichtet werden. Die Kosten für ein Zertifikat sind je nach Stärke der Validierung des Zertifikats unterschiedlich hoch. Die Kosten reichen von 30 Euro bis mehrere tausend Euro monatlich. VIO.Matrix-basierte Shops können sehr schnell mit Zertifikaten versehen werden.

Selber einrichten

Alternativ kann man auch ein Zertifikat selbst beantragen. Dazu benötigt man zunächst einen Handelsregisterauszug oder ein gleichwertiges Dokument für das Unternehmen oder die Person der die Domain gehört. Auf dem eigenen Webserver muss man gleichzeitig einen Zertifikatsrequest (CSR) und einen privaten Schlüssel (KEY) erzeugen. Mit diesen Unterlagen und dem CSR geht man zur Zertifizierungsstelle und bestellt ein Zertifikat zu o.g. Kosten. Die Zertifizierungsstelle schickt danach das Zertifikat für die Domain zurück, so dass man dieses zusammen mit dem privaten Schlüssel (KEY) in die eigene Serverkonfiguration einfügen kann. Für den gesamten Vorgang benötigt man vollen Zugriff auf die Serverkonfiguration.

Weiterführende Links:

• Transport Layer Security bei Wikipedia
• Fachbeitrag: Datenschutz in Webshops