Lea Sophie

Aus ProgrammingWiki

Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

HTTPS und TLS

Das allgegenwärtige Internet öffnet dem Nutzer unglaublich viele Türen; Shopping und das 24/7, Kommunikation in Sekundenschnelle über den Globus, neue Jobs und Arbeitsplätze, eine schier unendliche und unerschöpfliche Quelle an Informationen. Doch mit den Chancen ergeben sich auch Risiken. Daten kann man manipulieren, sie können verloren gehen, geraubt oder verkauft werden.

Aber wie kann man in diesem undurchschaubaren System die Sicherheit der Webseiten, seiner Anbieter und Nutzer gewährleisten? Diesem Zweck dienen Internet- und Sicherheitsprotokolle, die sicher jedem schon mal begegnet sind.


Sicherheitsprotokolle

SSL

Für eine Verschlüsselung der Datenübertragung ist die SSL (Secure Sockets Layer) verantwortlich. Doch ist dieses von Netscape entwickelte Protokoll heute unsicher und weist große Sicherheitslücken auf. Von SSL Verschlüsslungen wird abgeraten.

TLS

Ein neues sicheres Verschlüsselungsprotokoll ist das TLS (Transport Layer Security). Dieses ist ein zuverlässiger und vertrauenswürdiger Nachfolger der SSL. TLS entstand aus der 3. Version von SSL. Oftmals hört man auch noch den Begriff SSL obwohl es sich eigentlich um die neuere Form TLS handelt.

Lea Sophie SSLundTLS.PNG

Ziele von Sicherheitsprotokollen

Die Nutzung von der SSL/TLS verfolgt 3 Ziele: In diesem Beispiel verdeutlicht an einem Nutzer, nennen wir sie Helen, welche 2 Informatikbücher auf einer Internetseite kauft.

1. Vertraulichkeit, d.h. Helenes Daten, wie Anschrift an welche sie ihre Bücher geliefert bekommen möchte, Bankkonten zum bezahlen und sonstige, persönliche Angaben sind für Dritte nicht einsehbar, da diese durch die SSL/TLS verschlüsselt wurden.

2. Integrität der Daten, bedeutet dass Helenes Bestellung nicht durch Dritte manipuliert werden kann, also dass sie 2 Informatikbücher und nicht etwa ein anderes Produkt zugestellt bekommt, bzw. ihre Bestellung überhaupt an ihrer Adresse geliefert wird. Diese Vorgänge garantieren Sicherheitsprotokolle.

3.Authentizität, steht für die Wahrheit, also die Sicherheit für Helene, dass die Webseite über die sie ihre Bücher gekauft hat auch zu einem existenten Shop gehört und keine Verkaufs-Masche ist. Diese Aufgabe ist wichtig für die SSL/TLS, da sie dem Kunden Schutz gibt.


Internetprotokolle

HTTPLea Sophie HTTProt.PNG

Die bekannteste, mittlerweile veraltete Form lautet HTTP (Hyper Text Transfer Protocol). Dieses Protokoll regelt die Übermittlung von Daten im Internet nach dem Sender-Empfänger Modell. Doch ist dieses Verbindungprotokoll unverschlüsselt. Mit HTTP übertragene Daten sind also nicht von Angriffen durch Dritte geschützt.

Lea Sophie HTTP.PNG

HTTPSLea Sophie HTTPSgrün.PNG

Um die Sicherheit von Webseiten in voller Umfänglichkeit zu gewährleisten, gibt es die HTTPS (Hypertext Transfer Protocol Secure). Technisch gesehen ist dieses gar kein eigenständiges Protokoll sondern ein Zusammenwirken aus HTTP und SSL bzw. TLS (Internetprotokoll + Sicherheitsprotokoll). Die HTTPS bietet also eine gesicherte und verschlüsselte Verbindung.

Lea Sophie Http to https-1.jpg


Unterschiede: HTTP vs. HTTPS

Die Verschlüsslung mithilfe von Sicherheitsprotokollen liefert der HTTPS einen sehr entschiedenen Vorteil gegenüber der HTTP. So sind Passwörter vor äußeren Eingriffen geschützter (siehe Bsp. Bild unten links) und Daten für Unbefugte schwer zugreifbar und somit sicherer und zu empfehlen. Dadurch ist die Nutzung einer HTTPS aber teurer für den Anbieter der Webseite.

Auch von Browsern und Unternehmen, beispielsweise Google wird ein Umschwung von HTTP zu HTTPS gefördert. Die Suchmaschine listet in ihrem Ranking, also der Reihenfolge der zum Suchbegriff gefundenen Webseiten, solche zuerst auf, welche mit HTTPS Verschlüsselung für sicher erklärt wurden. Das zwingt die Betreiber von Seiten zum Umdenken - aber wer auf HTTPS umsteigt muss vieles beachten. Wichtiger Knackpunkt ist, das HTTP und HTTPS unterschiedliche Webseiten sind! Es muss neu strukturiert werden. Auch das Schlüsselzertifikat einer HTTPS-Seite muss mindestens 2048-Bit lang sein. Auch Querverweise und Hyperlinks müssen überprüft werden, auf HTTPS „Ziel“-Seiten. Viele Browser warnen vor Benutzung von HTTP-Seiten und empfelen diese nicht, oder nur ohne Gebrauch von Persönlichen Daten zu nutzen (s. Bild unten rechts).

Lea Sophie Difference-Between-HTTP-and-HTTPS.png Lea Sophie Klassifizierung.PNG


FAZIT Bei der Nutzung von Webseiten sollte man immer daurauf achten HTTPS geschützte und Verschlüsselte Seiten zu Nutzen, erst Recht wenn man persönliche Daten angibt.


Informations-Quellen

[1] [2] [3]

Von „https://programmingwiki.de/PMG1719/Einf%C3%BChrung/Lea_Sophie
Persönliche Werkzeuge