Embed Size (px)
Citation preview
HTTPSsecure connections for the interwebtzWeb Technology - WS 2014 / 15
Stephan Lindauer, Johannes Engl
Inhalt
●Risiken von HTTP ●Funktionsweise von HTTPS●Kasperletheater●Über dem Tellerrand●Setup von HTTPS auf Webserver
Das Problem
Das Problem
Das Problem
Das Problem
Wireless Network
Das Problem
Wireless Network
HTTPS
● HyperText Transfer Protocol Secure
● Protokoll um Daten im Web abhörsicher zu übertragen
● Entwickelt von Netscape, first release 1994 mit SSL 1.0
● Syntaktisch identisch mit HTTP
● Verschlüsselung funktioniert mittels SSL/TLS
HTTPS im Osi-Modell
HTTPS
Verschlüsselte Übertragung+
Zertifizierung
= 2 *
Crypto 101
“Wenn du Daten mit meinem Public Key verschlüsselst, kann nur ich mit meinem Private Key die Nachricht entschlüsseln”
Private
Public
“plain text”“9adsf89uzasdf908h1289389123h8h”
“plain text”
Crypto 101
“Wenn du Daten mit meinem Public Key verschlüsselst, kann nur ich mit meinem Private Key die Nachricht entschlüsseln”
Private
Public
“plain text”“9adsf89uzasdf908h1289389123h8h”
“plain text”
öffentlich!!!
Crypto 101
“Wenn du Daten mit meinem Public Key verschlüsselst, kann nur ich mit meinem Private Key die Nachricht entschlüsseln”
Private
Public
“plain text”“9adsf89uzasdf908h1289389123h8h”
“plain text”
öffentlich!!!
Crypto 101
“Ich kann dir beweisen, dass ich im Besitz einesbestimmten Geheimnisses bin”
Crypto 101
“Ich kann dir beweisen, dass ich im Besitz einesbestimmten Geheimnisses bin, ...”
“...ohne dir das Geheimnis zu zeigen!!!”
Crypto 101
Private
Public
+Daten
+=
Signatur
Verbindungsaufbau
Client Server
Client Hello
Zertifikat, Public Key
Symetrischer Cypher verschlüsselt
GET /
Response
Verbindungsaufbau
Fragen
● Warum macht man nicht hin und zurück immer Asynchrone Verschlüsselung?
● Wie sicher ist die Verschlüsselung?
Fragen
● Warum macht man nicht hin und zurück immer Asynchrone Verschlüsselung?
● Wie sicher ist die Verschlüsselung?
● Extended vs Normal○ Identität, Adresse, Eigentümer der Domain○ für Behörden, Personengesellschaften,
Kapitalgesellschaften, e.V. und Einzelunternehmer
Probleme mit Zertifikaten
● Extended vs Normal○ Identität, Adresse, Eigentümer der Domain○ für Behörden, Personengesellschaften,
Kapitalgesellschaften, e.V. und Einzelunternehmer
● Zertifikate vs Favicon
Probleme mit Zertifikaten
● Was passiert wenn eine Certificate Authority gehackt wird?
Probleme mit Zertifikaten
● Single point of failure
● Rolle der Browserhersteller
Probleme mit Zertifikaten
● Was passiert wenn eine Certificate Authority gehackt wird?
Probleme mit Zertifikaten
> 500 Zertifikate
> 5 Monate offen
Hands on HTTPS aufsetzen
● IT-Sicherheit, Eckert, Claudia, ISBN: 978-3-486-77848-9● https://www.youtube.com/watch?v=CNXl56HuJaE,
Abgerufen: 10.12.14● http://landofthefreeish.com/security/md5-collision-creates-
rogue-certificate-authority/ Abgerufen: 10.12.14● http://www.heise.de/security/meldung/Der-Diginotar-SSL-
Gau-und-seine-Folgen-1423893.html Abgerufen: 10.12.14
Weiterführende Links
Fragen?
