SSL-Zertifikate (FAQ)
Aus Portunity Wiki
Inhaltsverzeichnis |
Allgemeine Fragen zu SSL
Was genau ist SSL?
SSL ist eine Abkürzung und steht für "Secure Socket Layer" - zu dt. frei übersetzt heißt dies also "sichere Übertragungs-Schicht".
SSL ist heute DER Standard, wenn es um die verschlüsselte und sichere Übertragung von Inhalten zwischen einem Webserver und den Browsern der Nutzer geht. SSL ermöglicht dabei zum einen die Verschlüsselung von kritischen Daten wie z.B. Bankverbindungsdaten, Kreditkartennumern, Zugangsdaten usw., sowie die Validierung des Webseiten-Betreibers seitens des Nutzers anhand von Zertifikaten, um z.B. eventuelle Angriffe besser ausschließen zu können.
Warum wird für jede Domain, welche per SSL gesichert wird, auf einem Server eine eigene IP-Adresse benötigt?
Vor einigen Jahren zu Beginn des Internets, als Domains noch hohe drei- bzw. vierstellige Beträge kosteten und die Protokolle nicht so weit entwickelt waren wie heute, war es üblich (und es ging technisch auch gar nicht anders), dass jede Domain eine eigene IP-Adresse hatte.
Im Zuge immer günstiger und beliebter werdender Domains und der absehbaren Knappheit der aktuell noch verwendeten IPv4-Adressen (die reichen eben nicht ewig) wurde das HTTP-Protokoll dahingehend erweitert, dass auf einem Server mit nur einer IP-Adresse auch mehrere Domains gehostet werden können (VirtualHost). Dabei fragt der Browser den Webserver an, dieser wertet die Anfrage genau aus und schaut dabei auch nach, welche Domain angefragt wurde. Der Webserver kann daraufhin dann zu der Domain im richtigen Verzeichnis nach den Daten sehen und diese zum Browser übertragen.
Wird eine SSL-Verschlüsselung verwendet, wird zunächst eine Verschlüsselung zwischen Webserver und Browser etabliert. Zu diesem Zeitpunkt weiss der Webserver jedoch noch gar nicht, um welche Domain es gehen könnte, erst nach Etablierung der Verschlüsselung werden Daten übertragen und damit dann auch die Information der Zieladresse samt Domain. Deshalb wird die IP-Adresse als Kriterium für die Domain sozusagen wieder verwendet, und deshalb kann pro IP-Adresse jeweils nur ein SSL-Zertifikat benutzt werden.
Wie funktioniert SSL technisch?
Wenn der Webbrowser Kontakt zum Webserver via HTTPS auf Port 443 (also einem anderen Port wie die normale HTTP-Kommunikation) aufnimmt, wird zunächst anhand des Server-Zertifikates die mögliche Verschlüsselungstiefe ausgehandelt (anhand des Zertifikates und der maximalen Verschlüsselungstiefe des Browsers). In der Regel wird heute eine 128 Bit-Verschlüsselung verwendet. Anschließend werden die öffentlichen Verschlüsselungs-Codes, auch Keys genannt, gegenseitig ausgetauscht, d.h. es kommt ein Public-Key-Verfahren zum Einsatz. Erst dann beginnt die eigentliche Datenübertragung zwischen Webserver und Browser - natürlich dann mit den öffentlichen Keys verschlüsselt.