dedlfix: Grundlegende Fragen zu https SSL/TLS

Beitrag lesen

SELF-Forum

Grundlegende Fragen zu https SSL/TLS

dedlfix
+1 Informationen zu den Bewertungsregeln

Tach!

Man muss bezogen auf eine sichere Verbindung zwei Varianten unterscheiden:

Variante 1:

Verschlüsselte Verbindung (grünes Schloss OHNE Angabe des Inhabers)

Variante 2:

Verschlüsselte Verbindung (grünes Schloss MIT Angabe des Inhabers)

Jein, nicht in Bezug auf die Verschlüsslung. Der Unterschied ist im Grad des Vertrauens begründet.

Beim Verschlüsseln ist Vertrauen eine wichtige Komponente. Die kommt meist nicht richtig zur Geltung, weil der Browser das für die Anwender regelt. Jeder Browser hat eine Sammlung von Root-Zertifikaten von diversen Zertifizierungsstellen rund um den Globus. Wenn eine Webseite nun mit einem Zertifikat daherkommt, das sich auf eines dieser Root-Zertifikate zurückführen lässt, dass vertraut der Browser darauf und zeigt dir an: "Alles sei gut." Aber die eigentliche Frage wäre, ob du als Anwender Vertrauen entgegenbringen kannst. Meist wirst der Anwender da gutgläubig auf den Browser vertrauen, weil den meisten das Verständnis von der Problematik fehlt.

Zu diesem Sachverhalt einige Fragen:

  1. Aus welchem Grund wird nicht überall zusätzlich zum grünen Schloss auch noch der Name des Inhabers angegeben?

  2. Warum nutzt Ihr beim selfhtml Forum nur das grüne Schloss und nicht zusätzlich "selfhtml" rechts neben dem Schloss?

Bei einfachen Zertifikaten macht die Zertifizierungsstelle nur einen einfache Prüfung, ob der Antragsteller die Gewalt über die fragliche Domain hat. Das geht oftmals vollautomatisch und kostet deshalb wenig bis nichts.

Beim Dunkelgrün hingegen spricht man von erweiterter Validierung. Da prüft dann tatsächlich ein Mensch, ob die Angaben stimmen, beispielsweise durch das Prüfen eines Gewerbescheins oder ähnlicher Dokumente. Das kostet und brings am Ende rein technisch gesehen auch nicht wirklich.

3. Die beiden Schlüsselpaare (private key und public key) von Client und Server werden ja vom Client bzw. Server selbst erzeugt. Demnach brauche ich doch für eine verschlüsselte Verbindung eigentlich keine dritte Partei wie z.B. Lets Encrypt die mir ein Zertifikat erstellt.

Richtig, aber das Zertifikat für den öffentlichen Schlüssel muss von einer der Zertifizierungsstellen signiert sein, die ihre Rootzertifikate im Browser hinterlegt haben, damit der Browser für dich die Arbeit des Vertrauens abnehmen kann. Der eigentliche Verbindungsaufbau geht ohne dritte Parteien.

Für reine Verschlüssung könnte man dann doch eigentlich auf eine Zertifikat und damit auch auf die Nutzung von Lets Encrypt verzichten.

Ja, aber dann vertrauen die Browser nicht und jammern laut rum. Es sei denn, du selbst hinterlegst beim Browser, dass dieses selbst signierte Zertifikat vertrauenswürdig ist.

Drittparteien wie z.b. Lets Encrypt benötigt man nur dann, wenn man zusätzlich zum grünen Schloss auch noch den Namen des Inhabers in der Adressleiste des Browser haben möchte. Ist das so korrekt?

Nein, generell wenn die Browser nicht jammern sollen.

dedlfix.

Beitrag melden
+1
Informationen zu den Bewertungsregeln
0 16

Grundlegende Fragen zu https SSL/TLS

Karl Heinz
  • https
  • tls
  1. 2
    Felix Riesterer
  2. 2
    dedlfix
    1. 0
      Karl Heinz
      1. 1
        dedlfix
        1. 0
          Karl Heinz
          1. 1
            dedlfix
    2. 0
      Karl Heinz
      1. 1
        Auge
        1. 0
          Karl Heinz
          1. 1
            Auge
            • browser
            • https
            • tls
            1. 0
              Karl Heinz
              1. 1
                Auge
              2. 2
                Felix Riesterer
              3. 1
                Julius
      2. 1
        dedlfix