How to: SSL- und SSL-Zertifikate

How to: SSL- und SSL-Zertifikate

Einführung

SSL ( Secure Sockets Layer ) und TLS ( Transport Layer Security ) sind Protokolle, die eine sichere Kommunikation über ein Computernetzwerk oder eine Verbindung ermöglichen.

Sie werden häufig beim Surfen im Internet und bei E-Mails verwendet.

In diesem Tutorial werden wir uns folgendes anschauen:

  • TLS und SSL
  • Öffentliche und private Schlüssel
  • Warum brauchen wir Zertifikate und was tun sie?
  • So erhalten Sie ein digitales Zertifikat und kennen die verschiedenen gängigen Zertifikatstypen.

Was ist TLS?

TLS basiert auf SSL und wurde als Ersatz für bekannte Sicherheitslücken in SSLv3 entwickelt.

SSL ist der häufig verwendete Begriff und bezieht sich heute normalerweise auf TLS.

Sicherheit zur Verfügung gestellt

SSL / TLS bietet Datenverschlüsselung, Datenintegrität und Authentifizierung.

Dies bedeutet, dass Sie sich bei der Verwendung von SSL / TLS darauf verlassen können das:

  • Niemand hat Ihre Nachricht gelesen
  • Niemand hat Ihre Nachricht geändert
  • Sie kommunizieren mit der vorgesehenen Person (Server)

Beim Senden einer Nachricht zwischen zwei Teilnehmern treten zwei Probleme auf, die Sie beheben müssen:

  • Woher wissen Sie, dass niemand die Nachricht gelesen hat?
  • Woher wissen Sie, dass niemand die Nachricht geändert hat?

Die Lösungen für diese Probleme sind:

  • Verschlüsseln – Dies macht den Inhalt unlesbar, so dass er für jeden, der die Nachricht betrachtet, nur Kauderwelsch ist.
  • Unterschreiben – Dies gibt dem Empfänger die Sicherheit, dass Sie die Nachricht gesendet haben und dass die Nachricht nicht geändert wurde.

Beide Prozesse erfordern die Verwendung von Schlüsseln.

Bei diesen Schlüsseln handelt es sich einfach um Zahlen (128 Bit sind üblich), die dann unter Verwendung einer bestimmten Methode, die allgemein als Algorithmus bekannt ist, z. B. RSA, mit der Nachricht kombiniert werden, um die Nachricht entweder zu verschlüsseln oder zu signieren.


Symmetrische Schlüssel sowie öffentliche und private Schlüssel

Bei fast allen heute verwendeten Verschlüsselungsmethoden werden öffentliche und private Schlüssel verwendet .

Diese gelten als wesentlich sicherer als die alte symmetrische Schlüsselanordnung.

Mit einem symmetrischen Schlüssel wird ein Schlüssel zum Verschlüsseln oder Signieren der Nachricht verwendet, und derselbe Schlüssel wird zum Entschlüsseln der Nachricht verwendet.

Dies ist das gleiche wie die Schlüssel (Autotür, Autoschlüssel), mit denen wir im Alltag umgehen.

Das Problem bei dieser Art der Schlüsselanordnung ist, wenn Sie den Schlüssel verlieren. Jeder, der diesen Schlüssel findet, kann Ihre Tür aufschließen.

Bei öffentlichen und privaten Schlüsseln werden zwei Schlüssel verwendet, die mathematisch verwandt sind (sie gehören als Schlüsselpaar zusammen ), sind jedoch unterschiedlich.

Dies bedeutet, dass eine mit einem öffentlichen Schlüssel verschlüsselte Nachricht nicht mit demselben öffentlichen Schlüssel entschlüsselt werden kann .

Zum Entschlüsseln der Nachricht benötigen Sie den privaten Schlüssel .

Wenn diese Art von Schlüsselanordnung mit Ihrem Fahrzeug verwendet wurde. Dann könnten Sie das Auto abschließen und den Schlüssel im Schloss lassen, da derselbe Schlüssel das Auto nicht entriegeln kann .

Diese Art der Schlüsselanordnung ist sehr sicher und wird in allen modernen Verschlüsselungs- / Signatursystemen verwendet.


 Schlüssel und SSL-Zertifikate

SSL / TLS verwenden ein öffentliches und ein privates Schlüsselsystem zur Datenverschlüsselung und Datenintegrität.

Öffentliche Schlüssel können jedem zur Verfügung gestellt werden, daher der Begriff öffentlich.

Aus diesem Grund gibt es eine Frage des Vertrauens, insbesondere:

Woher wissen Sie, dass ein bestimmter öffentlicher Schlüssel zu der Person / Organisation gehört, die er behauptet.

Zum Beispiel erhalten Sie einen Schlüssel, der behauptet, zu Ihrer Bank zu gehören.

Woher wissen Sie, dass dieser Schlüssel tatsächlich zu Ihrer Bank gehört?

Die Antwort lautet, ein digitales Zertifikat zu verwenden.

Eine Bescheinigung hat den gleichen Zweck wie ein Pass im Alltag.

Ein Pass stellte eine Verbindung zwischen einem Foto und einer Person her, und diese Verbindung wurde von einer vertrauenswürdigen Behörde (Passwesen) überprüft .

Ein digitales Zertifikat stellt eine Verbindung zwischen einem öffentlichen Schlüssel und einer Entität (Unternehmen, Domänenname usw.) her, die von einem vertrauenswürdigen Dritten (einer Zertifizierungsstelle ) überprüft ( signiert ) wurde.

Ein digitales Zertifikat bietet eine bequeme Möglichkeit, vertrauenswürdige öffentliche Verschlüsselungsschlüssel zu verteilen.


Ein digitales Zertifikat erwerben

Sie erhalten ein digitales Zertifikat von einer anerkannten Zertifizierungsstelle (CA). So wie Sie einen Pass von einem Passbüro erhalten.

In der Tat ist das Verfahren sehr ähnlich.

Sie füllen die entsprechenden Formulare aus, fügen Ihre öffentlichen Schlüssel hinzu (sind nur Zahlen) und senden sie an die Zertifizierungsstelle. (Dies ist eine Zertifikatsanfrage)

Die Zertifizierungsstelle führt einige Prüfungen durch (abhängig von der Autorität) und sendet Ihnen die in einem Zertifikat enthaltenen Schlüssel zurück .

Das Zertifikat ist unterzeichnet von der ausstellenden Certification Authority , und das ist genau das, was den Schlüssel garantiert, dass er echt ist.

Wenn nun jemand Ihren öffentlichen Schlüssel möchte, senden Sie ihm das Zertifikat, überprüfen die Signatur des Zertifikats, und wenn es überprüft wird, können Sie Ihren Schlüsseln vertrauen .


Verwendungsbeispiel

Zur Veranschaulichung betrachten wir eine typische Webbrowser- und Webserver-Verbindung mit SSL . (https).

Diese Verbindung wird im Internet zum Versenden von E-Mails in Google Mail usw. sowie beim Online-Banking, Einkaufen usw. verwendet.

  1. Browser stellt eine Verbindung zum Server her Verwenden von SSL (https)
  2. Server antwortet mit Serverzertifikat, das den öffentlichen Schlüssel des Webservers enthält.
  3. Der Browser überprüft das Zertifikat, indem er die Signatur der Zertifizierungsstelle überprüft. Dazu muss sich das CA-Zertifikat im vertrauenswürdigen Speicher des Browsers befinden (siehe später).
  4. Der Browser verwendet diesen öffentlichen Schlüssel, um einen Sitzungsschlüssel mit dem Server abzustimmen.
  5. Webbrowser und Server verschlüsseln Daten über die Verbindung mit dem Sitzungsschlüssel .

Digitale Zertifikattypen

Wenn Sie versuchen, ein Zertifikat für eine Website zu erwerben oder MQTT zu verschlüsseln, stoßen Sie auf zwei Haupttypen:

  • Domain-validierte Zertifikate (DVC)
  • Zertifikate für erweiterte Validierung (EVC)

Der Unterschied zwischen den beiden Typen ist der Grad des Vertrauens in das Zertifikat, das mit einer strengeren Validierung einhergeht.

Die Verschlüsselungsebene ist identisch

Ein domänenvalidiertes Zertifikat ( DV ) ist ein digitales X.509-Zertifikat, das normalerweise für Transport Layer Security (TLS) verwendet wird, bei dem die Identität des Antragstellers durch den Nachweis einer gewissen Kontrolle über eine DNS-Domäne überprüft wurde. – Wiki

Der Validierungsprozess ist in der Regel vollständig automatisiert, was sie zur günstigsten Form des Zertifikats macht. Sie sind ideal für die Verwendung auf Websites wie dieser Website, die Inhalte bereitstellen, und nicht für sensible Daten verwendet.

Ein Extended Validation Certificate (EV) ist ein Zertifikat für HTTPS-Websites und -Software, das die juristische Person belegt, die die Website oder das Softwarepaket kontrolliert. Um ein EV-Zertifikat zu erhalten, muss die Identität der anfragenden Entität von einer Zertifizierungsstelle überprüft werden.

Sie sind im Allgemeinen teurer als domänenvalidierte Zertifikate, da sie eine manuelle Validierung erfordern.


Einschränkungen bei der Zertifikatnutzung – Platzhalter und SANs

Im Allgemeinen ist ein Zertifikat für die Verwendung auf einem einzelnen vollqualifizierten Domänennamen ( FQDN ) gültig .

Das heißt, ein Zertifikat, das für die Verwendung auf www.IhreDomain.de erworben wurde, kann nicht für mail.IhreDomain.de oder www.AndereDomain.de verwendet werden.

Wenn Sie jedoch mehrere Subdomains sowie den Hauptdomänennamen sichern möchten, können Sie ein Wildcard-Zertifikat erwerben.

Ein Platzhalterzertifikat deckt alle untergeordneten Domänen unter einem bestimmten Domänennamen ab.

Zum Beispiel kann ein Wildcard-Zertifikat für * .IhreDomain.de verwendet werden für:

  • mail.IhreDomain.de
  • www.IhreDomain.de
  • ftp.IhreDomain.de
  • usw

Es kann nicht zum Schutz von IhreDomain.de und AndereDomain.de verwendet werden .

Um mehrere unterschiedliche Domänennamen in einem einzigen Zertifikat abdecken zu können, müssen Sie ein Zertifikat mit SAN (Subject Alternative Name) erwerben .

In der Regel können Sie zusätzlich zum Hauptdomänennamen 4 weitere Domänennamen sichern. Sie können beispielsweise dasselbe Zertifikat für Folgendes verwenden:

  • www.IhreDomain.de
  • www.IhreDomain.org
  • www.IhreDomain.net
  • www.IhreDomain.co
  • www.IhreDomain.com

Sie können auch den abgedeckten Domänennamen ändern, das Zertifikat muss jedoch erneut ausgestellt werden.


Warum kommerzielle Zertifikate verwenden?

Zwischen kostenpflichtigen und kostenlosen SSL-Zertifikaten besteht aus technischer Sicht grundlegend kein Unterschied. Was sich aber massiv unterscheidet, ist die Zertifizierungsstelle. Bei der Frage nach dem Vertrauen, das der CA entgegengebracht werden kann, scheiden sich die Geister.

Hinter klassischen Zertifizierungsstellen steht ein, wirtschaftlich mehr oder weniger erfolgreiches, Unternehmen. Der wichtigste Kapitalgegenstand dieses Unternehmens ist das Vertrauen der Kunden und der Öffentlichkeit in seine Zertifizierungsleistung.

Let’s Encrypt und dessen Mutterorganisation, die Internet Security Research Group, ist im Gegensatz dazu nicht gewinnorientiert, sondern verfolgt einen gemeinnützigen Auftrag. Hinter Let’s Encrypt stehen jedoch Branchengrößen wie Chrome, Facebook, Mozilla und Linux.

Die Frage nach dem Vertrauen in die Zertifizierungsstelle ist somit zu einem gewissen Grad Ermessenssache: Vertraue ich eher dem Unternehmen, das Marketing betreibt, um das ihm entgegengebrachte Vertrauen zu maximieren, oder der gemeinnützigen Zertifizierungsstelle, die sich auf den Ruf der sie unterstützenden Branchengrößen verlässt?

Zertifikatskodierungen und Dateierweiterungen

Zertifikate können verschlüsselt werden als:

  • Binärdateien
  • ASCII-Dateien (base64)

Häufig verwendete Dateierweiterungen sind:

  • .DER
  • .PEM (Privacy Enhanced Electron Mail)
  • .CRT
  • .CERT

Hinweis: Es besteht kein echter Zusammenhang zwischen der Dateierweiterung und der Kodierung. Das heißt, eine .crt- Datei kann entweder eine .der- codierte Datei oder eine .pem- codierte Datei sein.

Frage – Woher weiß ich, ob Sie eine .der- oder .pem- Datei haben?

Antwort: Sie können die openssl-Tools verwenden, um den Codierungstyp zu finden und zwischen den Codierungen zu konvertieren. Siehe dieses Tutorial – DER vs. CRT vs. CER vs. PEM-Zertifikate


Beispiele für Zertifikate

Da .pem- codierte Zertifikate ASCII-Dateien sind, können sie mit einem einfachen Texteditor gelesen werden.

Wichtig ist, dass sie mit den Zeilen Begin Certificate und End Certificate beginnen und enden .

Zertifikate können in einer eigenen Datei oder zusammen in einer einzigen Datei gespeichert werden, die als Bundle bezeichnet wird.


Stamm-CA-Bundle und Hash-Zertifikate

Stammzertifikate existieren zwar als einzelne Dateien, sie können jedoch auch zu einem Bundle zusammengefasst werden.

Auf Debian-basierten Linux-Systemen werden diese Stammzertifikate im Ordner / etc / ssl / certszusammen mit einer Datei mit dem Namen ca-certification.crt gespeichert .

Diese Datei ist ein Bündel aller Stammzertifikate im System.

Sie wird vom System erstellt und kann aktualisiert werden, wenn neue Zertifikate mit dem Befehl update-ca-certificate hinzugefügt werden .

Der certs-Ordner enthält außerdem jedes einzelne Zertifikat oder einen symbolischen Link zum Zertifikat zusammen mit einem Hash.

Die Hash-Dateien werden mit dem Befehl c_rehash erstellt und werden verwendet, wenn ein Verzeichnis und keine Datei angegeben wird. Das mosquitto_pub- Tool kann beispielsweise wie folgt ausgeführt werden:

mosquitto_pub --cafile /etc/ssl/certs/ca-certificates.crt

oder

mosquitto_pub --capath / etc / ssl / certs /


Stammzertifikate, Zwischenzertifikate und Zertifikatketten und -bündel.

Eine Zertifizierungsstelle kann untergeordnete Zertifizierungsstellen erstellen, die für die Ausgabe von Zertifikaten an Clients verantwortlich sind.

Damit ein Client die Echtheit des Zertifikats überprüfen kann, muss er die Signaturen aller Zertifizierungsstellen in der Kette überprüfen können. Dies bedeutet, dass der Client Zugriff auf die Zertifikate aller Zertifizierungsstellen in der Kette benötigt.

Auf dem Client ist möglicherweise bereits das Stammzertifikat installiert, wahrscheinlich jedoch nicht die Zertifikate der Zwischenzertifizierungsstellen.

Daher werden Zertifikate häufig als Teil eines Zertifikatspakets bereitgestellt .

Dieses Bundle besteht aus allen CA-Zertifikaten in der Kette in einer einzigen Datei, die normalerweise als CA-Bundle.crt bezeichnet wird .

Wenn Ihre Zertifikate einzeln gesendet werden, können Sie ein eigenes Bundle erstellen, indem Sie die folgenden Schritte ausführen .


Häufige Fragen und Antworten

F- Was ist ein Trusted Store?

A- Es ist eine Liste von CA-Zertifikaten, denen Sie vertrauen. Alle Webbrowser werden mit einer Liste vertrauenswürdiger Zertifizierungsstellen geliefert.

F: Kann ich meinem vertrauenswürdigen Browser Ihres Browsers eine eigene Zertifizierungsstelle hinzufügen?

A- Ja unter Windows Wenn Sie mit der rechten Maustaste auf das Zertifikat klicken, sollte eine Installationsoption angezeigt werden

install-certificate-windows

F- Was ist ein selbstsigniertes Zertifikat?

A- Ein selbstsigniertes Zertifikat ist ein Zertifikat, das von derselben Entität signiert wurde, die das Zertifikat überprüft. Es ist, als würden Sie Ihren eigenen Passantrag genehmigen. siehe Wiki

F Was ist ein Fingerabdruck eines Zertifikats?

A- Dies ist ein Hash des eigentlichen Zertifikats und kann zur Überprüfung des Zertifikats verwendet werden, ohne dass das CA-Zertifikat installiert werden muss. Sehen Sie hier


Fazit

Egal ob sie nun von Comodo, Thawte und Co. oder von Let’s Encrypt kommt: Eine SSL-Verschlüsselung bringt deiner Seite viele Vorteile und macht sie somit insgesamt wettbewerbsfähiger. Auf technischer Ebene unterscheiden sich die Zertifikatstypen kaum: HTTPS ist HTTPS. Die Verschlüsselungsstärke wiederum hat vor allem mit der Webserverkonfiguration zu tun.

Hast du ein kostenloses SSL-Zertifikat, musst du dir also keine Sorgen um Nachteile gegenüber kostenpflichtigen Zertifikaten machen. Denn der wichtigste sicherheitsrelevante Ansatzpunkt bei domainvalidierten Zertifikaten ist die Zertifizierungsstelle, nicht das Zertifikat selbst.

Wenn Ihnen dieser Artikel gefallen hat, teilen Sie unseren Beitrag mit anderen oder besuchen Sie uns bei Facebook. Sie wollen noch mehr über das Thema Marketing, SEO und WordPress erfahren? Komme Sie in unsere interaktive Facebook Lerngruppe: SEO for Dummies – Seo einfach erklärt

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.