Hypertext Transfer Protocol Secure
aus Wikipedia, der freien Enzyklopädie
| Anwendung | HTTP | |||
| Transport | SSL | |||
| TCP | ||||
| Internet | IP | |||
| Netzzugang | Ethernet | Token Ring |
FDDI | ... |
HTTPS steht für HyperText Transfer Protocol Secure und ist ein URI-Schema, das eine zusätzliche Schicht zwischen HTTP und TCP definiert. Es dient zur Verschlüsselung und zur Authentifizierung der Kommunikation zwischen Web-Server und Browser. HTTPS wurde von Netscape entwickelt und zusammen mit SSL 1.0 im August 1994 mit deren Browser veröffentlicht.
Ohne Verschlüsselung wären alle Web-Daten für jeden, der Zugang zu einem Netz hat, durch das die IP-Pakete laufen, im Klartext lesbar. HTTPS stellt das einzige Verschlüsselungsverfahren dar, das ohne gesonderte Softwareinstallation auf allen Internet-fähigen Computern unterstützt wird.
Inhaltsverzeichnis |
[Bearbeiten] Technik
Syntaktisch ist HTTPS identisch mit dem Schema für HTTP. Die Verschlüsselung der Daten geschieht mittels SSL/TLS. Der Standard-Port für HTTPS-Verbindungen ist 443.
Hierbei findet unter Verwendung des SSL Handshake Protokolls zunächst eine geschützte Identifikation und Authentifizierung der Kommunikationspartner statt. Anschließend wird mit Hilfe asymmetrischer Verschlüsselung oder des Diffie-Hellman-Schlüsselaustauschs ein gemeinsamer symmetrischer Sitzungsschlüssel ausgetauscht. Dieser wird schließlich zur Verschlüsselung der Nutzdaten verwendet, um abhörsichere Kommunikation zu gewährleisten.
Neben den Server-Zertifikaten können auch signierte Client-Zertifikate nach X.509.3 erstellt werden. Dies ermöglicht eine Authentifizierung der Clients gegenüber dem Server, wird jedoch selten genutzt.
[Bearbeiten] Server-Voraussetzungen
Zum Betrieb eines HTTPS-fähigen Webservers wird eine SSL-Software-Bibliothek wie OpenSSL sowie ein SSL-Certificate benötigt: Ein Binärdokument, das von einem – selbst wiederum zertifizierten – Unternehmen oder Instanz ausgestellt wird, um die Authentizität der Domain zu sichern. Bei der Beantragung werden dazu etwa die Adressdaten und die Firmierung geprüft. Um die Kosten der Zertifizierung, jährlich zwischen 40 und 400 US-$, zu sparen, werden manchmal unsignierte dummy-Zertifikate verwendet. Damit wird zwar die Verschlüsselung, nicht aber die Authentifizierung erreicht; solche Verbindungen sind damit verwundbar für einen Man-In-The-Middle-Angriff.
Weiterhin ist zum Betrieb eines HTTPS-Webservers eine eigene IP-Adresse notwendig, da das sonst bei einem Virtual Server (etwa beim Apache HTTP Server über den Vhost Mechanismus) mögliche Aushandeln eines abweichenden Domain-Namens nicht per HTTPS möglich ist. Unter Verzicht auf die Authentifizierung wird dies teils durch Weiterleitung auf einen gemeinsamen HTTPS-Server umgangen.
[Bearbeiten] Client-Verarbeitung
Mit der Entwicklung von HTTPS durch Netscape wurde das Protokoll und die Client-seitige Software schon früh in den Browser integriert. Damit ist, anders als etwa bei eMail (S/MIME oder PGP), SSH oder SFTP, die Installation gesonderter Software durch den Anwender nicht notwendig.
Der Client-Browser wird zu Beginn einer HTTPS-Verbindung dem Anwender das Zertifikat anzeigen, worauf dieser entscheidet, ggf. nach Prüfung über die angegebenen Links, ob er dem Zertifikat für diese Sitzung oder auch permanent vertraut, andernfalls die HTTP-Verbindung nicht hergestellt wird. Um diese für Unkundige eventuell irritierende Abfrage zu vermeiden, sind eine Reihe von Root-Zertifikaten in aktuellen Browsern eingetragen und werden, ebenso wie davon abgeleitete Unter-Zertifikate, bei Aufruf ohne Nachfrage akzeptiert. Ob ein Root-Zertifikat dem Browser bekannt ist, hängt von der Browser-Version ab; zudem wird die Liste der Zertifikate meist online aktualisiert, so bei Windows XP.
Ein Nachteil der automatischen Bestätigung der Zertifikate besteht darin, dass der Anwender eine HTTPS-Verbindung nicht mehr bewusst wahrnimmt. Dies wurde in jüngerer Zeit bei Phishing-Angriffen ausgenutzt, die online-Banking Anwendungen simulierten. Betroffene Unternehmen wiesen ihre Kunden darauf hin, das SSL-Logo zu beachten, das eine bestehende HTTPS-Verbindung bestätigt – beim Internet Explorer ein gelbes Schloss-Icon in der Status-Leiste, bei Mozilla zusätzlich in der Adresszeile, die bei Firefox zusätzlich gelb hinterlegt wird. Aktuelle Opera und Internet Explorer 7 Browser zeigen nun ebenfalls die Adressleiste gelb hinterlegt mit einem Schloss, dazu den Inhaber des Zertifikats an.
[Bearbeiten] Performance
Das zu verwendende Verschlüsselungs-Verfahren wird serverseitig konfiguriert. Um bei hohem Traffic Rechenzeit zu sparen, werden neben den möglichen 128-Bit-Schlüsseln teils noch 40-Bit-Schlüssel verwendet. Diese sind aber vergleichsweise einfach zu „knacken“ und werden daher bei sinkenden Hardwarekosten immer weniger genutzt.
Um die rechenaufwändige Verschlüsselung im Server zu beschleunigen, werden SSL-Beschleuniger (SSL accelerators) angeboten. Dazu gehören PCI-Steckkarten mit speziellen, optimierten Prozessoren, oder auch Network appliances, eigenständige Geräte, die Teile des HTTP-Datenstroms automatisch verschlüsseln, meist in Rack-Bauweise. Spezielle Hardware wird heute aber immer weniger eingesetzt, da die Rechenleistung meist kostengünstiger durch Prozessor-Upgrades erweitert werden kann.
Siehe auch: Elektronische Unterschrift
[Bearbeiten] Weblinks
- RFC 2818 – HTTP Over TLS (englisch)
- Wie funktioniert HTTPS?
- Serversniff.de prüft HTTPS-Server auf Zertifikatsinfos, Protokolle und angebotene Verschlüsselungsmethoden
- HTTPS-FAQ und Schlüssel-Sicherheit.
