Keine Absicherung von Datenverbindungen ist aus dem Internet heute unvorstellbar. Ob Onlinebanking, das Buchen einer Reise oder das Bestellen im Onlineshop, selbst die persönlichen Daten im Kontaktformular werden über das Internet übermittelt. Viele dieser Daten sind sensibel und deshalb ist die Absicherung der Datenverbindung ein absolutes Muss.
Der Unterschied zwischen https, SSL und TLS und die Sicherheitseigenschaften dieser Protokolle ist nicht jedem klar. Es muss nicht immer VPN sein, wie ich hier erklärt habe, die Verwendung verschlüsselter Protokolle tut es oftmals auch.
Das Protkoll SSL steht für Secure Sockets Layer einige bekannte Schwachstellen und sollte deshalb nicht mehr eingesetzt werden. Der Nachfolger nennt sich TLS und steht für Transport Layer Security. Meist ist TLS gemeint, wenn vom weit verbreiteten SSL gesprochen wird. HTTPS heißt Hypertext Transfer Protocol Secure und ist in dem Sinne kein eigenständiges Protokoll. Vielmehr bezeichnet HTTPS die Verwendung von HTTP über TLS respektive SSL. Browser zeigen meist durch ein Schloss auf, wenn eine HTTPS Verbindung genutzt wird.
Ergänzend wird bei einigen Browsern dies farblich abgesetzt, zum Beispiel durch ein grünes Schloss.
Ziele der abgesicherten Datenverbindung
Weitgehend wird eine abgesicherte Verbindung mit der Verschlüsselung einer solchen gleichgesetzt. Jedoch verfolgt SSL und TLS primär drei Hauptziele:
Vertraulichkeit durch Verschlüsselung
Die Vertraulichkeit wird durch die Verschlüsselung der Verbindung gewährleistet. Wenn über meine Webseite und das Kontaktformular oder in den Kommentaren Daten von dir übermittelt werden so kannst du dir sicher sein, dass diese nicht von Dritten abgefangen werden. Gleiches gilt beim Einkauf im Onlineshop, hier können die für den Kauf notwendigen Daten nicht abgefangen und mißbraucht werden.
Datenintegrität
Sendest du einen Kommentar auf meiner Webseite ab, so garantiere ich dir, dass dieser nicht durch Dritte manipuliert werden kann. Bestellst du im Onlineshop zwei Festplatten, so dürfen durch Dritte daraus nicht zehn gemacht werden. Viel wichtiger noch, durch die Integrität der Daten kann die Lieferadresse nicht manipuliert werden. Das schafft Vertrauen für Käufer und gibt dem Verkäufer ebensolche Sicherheit, die andernfalls existenzbedrohend sein kann.
Das Video wird von Youtube eingebettet. Es gelten die Datenschutzerklärungen von Google. Mit dem abspielen des Videos nimmst Du dies zur Kenntnis.
Authentizität
Für dich muss abseits des Impressums oder der Domainregistrierungsdaten meine Webseitenbetreiberidentität überprüfbar sein. Nur durch diese Sicherstellung weißt du, wer wirklich für die Absicherung der Datenverbindung zwischen deinem Browser und meiner Webseite gerade steht. Gleiches gilt für den Einkauf im Onlineshop. Für Dich muss überprüfbar sein, wer der Shopbetreiber ist und mit wem du ein Geschäft eingehst.
Einwände
Zwar ist die Authentizität theoretisch beim Einsatz von SSL-Zertifikaten gegeben, in der Praxis musst du jedoch selbst entscheiden, ob du einem Zeritifkat, der Zertifizierungsstelle und letztendlich dem Betreiber vertraust.
SSL-Zertifikate
Ein SSL-Zertifikat kann von jedem selbst generiert und signiert werden. Viele kennen das damit einhergehende Problem der Zertifikatswarnung im Browser, schließlich gibt es bei solchen Zertifikaten keine unabhängige Institution welche die Identität des Ausstellers überprüft hat.
Jeder Browser- und Betriebssystemhersteller überprüft ausgewählte Organisationen und vertraut diesen sogenannten Zertifizierungsstellen. Diesen von den Zertifizierungsstellen ausgestellten Zertifikaten wird vertraut und damit schließt sich die Vertrauenskette zwischen dem Browser und der besuchten Webseite auf dem Server. Zertifizierungsstellen müssen die Möglichkeit haben, die Identität von Dritten prüfen zu können und werden nach dieser Prüfung die Zertifikate signieren. Somit wird ein Mindeststandard eingehalten und ein regelmäßig wiederkehrender Überprüfungsprozess stuft die Organisationen als vertrauenswürdig ein. Bei jedem Besuch meiner Webseite wird letztendlich überprüft, ob diese Vertrauenskette intakt ist.
Drei Stufen gibt es für die Überprüfung der Identität und die demzufolge ausgestellten Zertifikate. Bei Klasse 1 Zertifikaten wird lediglich überprüft, ob der Antragsteller im Besitz der im Zertifikat vermerkten Domain ist. Ein solches Zertifikat wird von Let’s Encrypt für dein NAS ausgestellt. Mehr verlangt wird bei Klasse 2 Zertifikaten, hier muss mit Kopien von Ausweisdokumenten oder Unternehmensunterlagen nachgewiesen werden, dass der Antragsteller mit der Identität im Zertifikat übereinstimmt. Viel intensiver erfolgt die Prüfung bei Klasse 3 Extended-Validation-Zertifikate Zertifikaten. Hier werden weitere Dokumente nötig und solche Zertifikate werden auch als bezeichnet.
Hallo Dominik ,
vielen Dank für die sehr gute Erklärung. Was mir aber noch nicht so richtig einleuchtet; Kann das Stammzertifikat z.B. von Geotrust nicht ebenfalls gefälscht werden, und somit eine sichere Zertifizierungskette vorgegaukelt werden?
Wenn doch die Zertifikate auf jedem Betriebssystem hinterlegt sind, können diese ja auch eingesehen werden. Wie ist dann eine Sicherung vor Fälschung sichergestellt.
vielen Dank
Oli
…eine Erklärung wo/wie man an diese Zertifikate kommt wäre hilfreich gewesen.
Die meisten Angebote diesbezüglich waren mir eher undurchsichtig und durchaus vielfältiger als die drei Stufen, die Du erklärt hast.
Obendrein sind sie unglaublich teuer, was an vielen Stellen solche Angebote nicht glaubwürdiger macht.
Dann scheint es ja auch noch Zertifikate zu geben, die speziell für Datenverbindungen gedacht sind und jene die eben nur für Internetseiten und Subdomains gedacht sind.
Irgendwie blicke ich da noch gar nicht dran lang, was ich brauche wenn ich meine Internetseite sicher machen möchte und meine drei Synology-Server, die mittels DNS an drei Standorten erreichbar sind, sicher zu machen.
Kannst Du da etwas mehr Licht ins Dunkel bringen?
Hi Dominik,
leider hast Du nicht erklärt, wie man eine sichere SSL Verbindung im internen Netzwerk zur Synology herstellen kann, ohne, dass eine Fehermeldung kommt. Diese Frage hatte ich ja gestellt.
Kannst Du dies evtl. einmal noch machen bzw. mir schreiben?
Grund ist, dass ich z.B. mein Windowsphone Kalender und Tel.buch nur übers interne Netzwerk syncen möchte, dies aber verschlüsselt und dies ght ja nur, wenn keine Zertifikatswarnung kommt (die ja bei einem selbst augestellten Zertifikat kommt).
Wie kann man also ein vertrauenswürdiges Zertifikat für eine interne IP Adresse erhalten / herstellen?
Hi Peter,
selbstverständlich habe ich das erklärt, nur hier geht es nicht um Synology! In vielen Videos zeige und erkläre ich das, hier kannst Du die Suche verwenden oder einfach selbst im Internet suchen. Zudem biete ich persönlichen Support an und erkläre hier noch einmal intensiver, sollten Fragen offen bleiben. Was hier erklärt wurde war in meinen Augen alles was nötig ist. Ich kann in einem solchen Video keinen Grundkurs für alle Fragen drum herum geben.