SSL Funktionsweise

[Taipan22]

Hallo liebe User,

ich habe heute angefangen mich mit SSL zu beschäftigen.
Nun habe ich die Funktionsweise von HTTPS nachvollziehen können, bin aber verwirrt, da HTTPS zwar SSL verwendet, jedoch in einer anderen Form, oder?
Vielleicht könnt ihr mir weiterhelfen und mir sagen ob ich richtig liege:
 

Also SSL ist eine Asymmetrische Verschlüsselung (es gibt pro Teilnehmer einen private und einen public key).

HTTPS funktioniert folgendermaßen:

1: Der Client sendet dem Server eine "SSL Hello Message" in der Informationen wie die SSL Version stehen, welche der Client (Browser) verwendet.

2: Der Server antwortet dem Client ebenso mit einer "SSL Hello Message" und bestätigt die zu nutzende SSL Version während der Sitzung. Neben diesen Informationen ist auch der Public Key des Servers enthalten.

3: Der Client überprüft, anhand des Public Keys, das SSL Zertifikat des Servers auf die Vertrauenswürdigkeit.

4: Der Client erzeugt einen Session Key (bestehend aus einer zufälligen Zahl) und verschlüsselt diesen Session Key mit dem Public Key des Servers.

5: Der Client versendet den verschlüsselten Session Key an den Server, welcher diesen wiederum mit seinem Private Key entschlüsselt. 

6: Alle versendeten Daten werden nun mit dem Session Key verschlüsselt und entschlüsselt.

Also, falls das so richtig ist, habe ich HTTPS verstanden. Ich tue mir allerdings gerade schwer zu verstehen, was denn nun genau SSL ist - einfach nur eine Form der Asymmetrischen Verschlüsselung, die als Grundlage für Dienste wie HTTPS genutzt wird?

lg

 

ps. ich sehe gerade, dass das hier das falsche Unterforum ist. Sorry dafür... hoffe, dass der Beitrag einfach in das passende Unterforum verschoben werden kann

Bearbeitet 8. Juni 2020 von Taipan22

[Chief Wiggum]

vor 3 Minuten schrieb Taipan22:

hoffe, dass der Beitrag einfach in das passende Unterforum verschoben werden kann

Erledigt.

[Bitschnipser]

Nunja, HTTPS ist letztendlich HTTP über TLS (vormals SSL). Das macht einen Handshake und dieser - korrigiert mich, wenn ich falsch liege - geschieht, nachdem ein TCP Handshake stattgefunden hat. Also Handshake über Handshake. HTTP(s) ist letztendlich nur HTTP, welches mit TLS verschlüsselt wurde. Und HTTP ist halt ein Protokoll.

Zu deiner eigentlichen Frage:
https://www.globalsign.com/de-de/ssl-information-center/was-ist-ssl
 

Bearbeitet 8. Juni 2020 von Bitschnipser

[Taipan22]

vor 6 Minuten schrieb Bitschnipser:

Nunja, HTTPS ist letztendlich HTTP über TLS (vormals SSL). Das macht einen Handshake und dieser - korrigiert mich, wenn ich falsch liege - geschieht, nachdem ein TCP Handshake stattgefunden hat. Also Handshake über Handshake. HTTP(s) ist letztendlich nur HTTP, welches mit TLS verschlüsselt wurde. Und HTTP ist halt ein Protokoll.

Der Teil ist mir klar und das verstehe ich auch. Der SSL Handshake ist praktisch der Austausch der "SSL Hello Messages", richtig?

vor 7 Minuten schrieb Bitschnipser:

Zu deiner eigentlichen Frage:
https://www.globalsign.com/de-de/ssl-information-center/was-ist-ssl

Dieser Punkt ist das, was mir nicht ganz klar ist. Dort steht:

"In der heutigen internetfokussierten Welt wird das SSL-Protokoll typischerweise eingesetzt, wenn ein Webbrowser sich sicher mit einem Webserver über das inhärent unsichere Internet verbinden muss."

"typischerweise" mir geht es jedoch darum, wie SSL beispielsweise bei der Verschlüsselung von Emails zum Einsatz kommt. Ist das dann genau die gleiche Art und Weise? Also auch ein SSL Handshake, jedoch entfällt der Session Key und damit die Symmetrische Verschlüsselung, da kein "dauerhafter" Datenverkehr auftritt?

[Bitschnipser]

Nein, das ganze ist der SSL Handshake. Der Handshake endet erst, wenn alle Schlüssel ausgetauscht und der "Tunnel-"aufbau abgeschlossen ist. Praktisch in dem Moment, wo dann die "Nutzdaten" fließen.


SSL bei E-Mail bedeutet auch nichts anderes, als, dass die Mail verschlüsselt versendet/abgerufen wird (POP3, IMAP, SMTP)

[Taipan22]

vor 10 Minuten schrieb Bitschnipser:

Nein, das ganze ist der SSL Handshake. Der Handshake endet erst, wenn alle Schlüssel ausgetauscht und der "Tunnel-"aufbau abgeschlossen ist. Praktisch in dem Moment, wo dann die "Nutzdaten" fließen.


SSL bei E-Mail bedeutet auch nichts anderes, als, dass die Mail verschlüsselt versendet/abgerufen wird (POP3, IMAP, SMTP)

Ah, verstehe. Der Handshake ist also all das was passiert, bis die Verbindung Symmetrisch verschlüsselt wird. Also bis zu Punkt Nr 5.

Was ich jedoch immer noch nicht nachvollziehen kann ist, dass wenn ich bspw. POP3 über STARTTLS verschlüssel, wie sich dann der Ablauf von HTTPS unterscheidet. Kommt dann dort auch ein SSL Zertifikat zum Einsatz?

Also ist ein SSL Zertifikat unerlässlich für die Nutzung von SSL?

Bearbeitet 8. Juni 2020 von Taipan22

[Bitschnipser]

vor 19 Minuten schrieb Taipan22:

Also ist ein SSL Zertifikat unerlässlich für die Nutzung von SSL?

Kurze Antwort: ja

Längere Antwort: womit willst du deinen Handshake machen, wenn du kein Zertifikat als Basis hast?

[Taipan22]

vor 1 Minute schrieb Bitschnipser:

Kurze Antwort: ja

Längere Antwort: womit willst du deinen Handshake machen, wenn du kein Zertifikat als Basis hast?

Merke gerade, dass ich mir mal das Thema Protokolle im allgemeinen anschauen sollte. Schließlich ist ein Protokoll ja etwas, was den Ablauf von etwas festlegt. Deshalb macht es Sinn, dass dieser Handshake grundlegend bei allen Dingen gleich ist, die mit SSL verschlüsseln. So hab ich es jetzt verstanden. Wenn dieses Aussage von mir richtig ist, dann sind alles Fragen beantwortet, danke