Der vollständige Anfängerleitfaden zur SSL-Verschlüsselung
Es ist ein großes Geschäft, über Hacking, Phishing, Malware, Viren und alle anderen Formen schmutziger Geschäfte im Internet auf dem Laufenden zu bleiben. Der Cybersicherheitsbranche Es wird erwartet, dass die Zahl bis 2020 170 Milliarden US-Dollar erreichen wird. Das Wachstum verläuft weitgehend im Gleichschritt mit der Zunahme der Cyberkriminalität Branche für sich das ist dafür verantwortlichVerlustrund 450 Milliarden US-Dollar pro Jahr. Wie bleibt der durchschnittliche Internetnutzer und gelegentliche Browser inmitten der „Sicherheit“ geschützt? Reihe von Röhren ”? Eine wirksame Methode besteht darin, Websites mit Secure Socket Layer (SSL)-Verschlüsselung zu verstehen und aktiv zu nutzen.
SSL in weniger als 100 Wörtern
Die Secure Socket Layer-Verschlüsselung ist ein High-Level-Verschlüsselungsstandard, der eine Kombination aus asymmetrischen und symmetrischen Schlüsselalgorithmen verwendet. Dies bedeutet, dass abgesehen vom asymmetrischen öffentlichen Schlüssel die verwendeten kryptografischen Schlüssel bei jeder Verbindung zwischen zwei Maschinen eindeutig sind. SSL-Zertifikate nutzen einen asymmetrischen öffentlichen Schlüssel (den Website-Server) und einen privaten Schlüssel (den Browser des Benutzers), die zusammenarbeiten, um Daten zu authentifizieren und zu sichern. Sobald der erste „Handshake“ erfolgt ist, verbindet SSL die beiden Maschinen mit einem Chiffriermittel, das die Datenübertragung ständig verschlüsselt und überwacht und so überprüft, dass die Daten sowohl sicher als auch unverändert sind.
Eine kurze Einführung in die Verschlüsselung (für Sicherheits-Neulinge)
Wenn Sie eher ein Profi sind, können Sie ruhig weitermachen. Wenn Ihnen das ganze Gerede über SSL und Netzwerksicherheit jedoch etwas zu viel ist, lassen Sie uns einiges von dem, worüber wir reden, aufschlüsseln, damit Sie sich etwas weniger verwirrt fühlen.
Alle Informationen sind Daten
Das wissen Sie vielleicht schon. Grundsätzlich handelt es sich bei allem, was Sie online senden und empfangen, um verschlüsselte Daten. Sogar die Wörter, die Sie gerade auf der Seite lesen, werden von Ihrem Browser in ein lesbares, optisch ansprechenderes Format übersetzt. Sie möchten eigentlich nicht versuchen, zu lesen, wie diese Daten aussehen, da Sie sie als nichts anderes als eine Ansammlung von Buchstaben und Zahlen wahrnehmen würden, die ohne Übersetzung keinen Sinn ergeben.
Hier ist zum Beispiel ein Schnappschuss von Universität von Miami wie eine E-Mail-Adresse in ihrer reinen Datenform aussehen könnte:
Sie werden die Daten im mittleren Übertragungszustand kaum verstehen können. Ihr Browser übersetzt diese Daten jedoch in eine lesbare Form – in diesem Fall als E-Mail-Adresse.
Datenpakete
Meistens sprechen alle Computer die gleichen Sprachen. Wenn also zwei Computer über ein Netzwerk miteinander verbunden sind und beginnen, Daten in der oben genannten codierten Sprache oder einer von vielen anderen Codesprachen zu senden, können sie diese Sprache nach Erhalt in ein für den Benutzer besser lesbares Format übersetzen. Alle diese Daten kommen jedoch nicht als ein kontinuierlicher Strom, sondern werden in kleinere Pakete aufgeteilt, die schnell gesendet werden. Datenpakete liegen typischerweise in der folgenden Form vor:
- Ein HeaderEnthält Informationen wie Absender-IP- und Empfänger-IP-Adressen, Netzwerkprotokollnummer und andere nützliche Informationen
- Die NutzlastDabei handelt es sich um das eigentliche Datenpaket, das empfangen und übersetzt werden soll
- Ein KurzfilmDies zeigt an, dass das Paket beendet wurde, und hilft bei der Korrektur etwaiger Fehler, die während des Sendevorgangs aufgetreten sein könnten
In den meisten Netzwerken ist die Datenmenge, die jedes Paket enthalten kann, tatsächlich begrenzt. Dies bedeutet, dass die Nutzlastmenge variieren kann, was sich auch auf die Dauer des Datenversands auswirkt. Da die Daten unterwegs abgefangen oder gestohlen werden können, müssen die Daten vor dem Senden verschlüsselt und nach dem Empfang wieder entschlüsselt werden, sofern jemand über einen Computer verfügt, der die Daten in den Paketen übersetzen kann (eigentlich fast jeder).
Datenverschlüsselung
Da jeder Computer über Netzwerke übertragene Daten übersetzen kann und Netzwerke, die nicht geschützt sind, anfällig sind, ist eine Verschlüsselung vorhanden, um sicherzustellen, dass Datenpakete praktisch nicht übersetzt werden können. So funktioniert diese Verschlüsselung.
Die gesamte Verschlüsselung ist abgeleitet von Kryptographie , die Studie hinter dem Versenden von Nachrichten in codierten Nachrichten. Kryptographie wurde in den letzten Jahrzehnten in vielen Teilen der Geschichte bekanntermaßen eingesetzt, insbesondere im Zweiten Weltkrieg, als sowohl die Alliierten als auch die Achsenmächte ihre Bemühungen verstärkten, Nachrichten über öffentliche Funkwellen zu senden und zu codieren.
Heutzutage wird Kryptographie häufiger als Netzwerkverschlüsselung eingesetzt. Mit der Verschlüsselung sind die Daten durcheinander bevor es das Netzwerk und die empfangende Partei passiert. Für jeden, der herumschnüffelt, würden die einmal übersetzbaren Daten wie Unsinn aussehen.
Kryptografische Hash-Funktionen
Wie kommt es also, dass die Daten verschlüsselt werden? Komplexe Algorithmen, die kryptografische Hash-Funktionen durchlaufen. Diese Funktionen nehmen im Wesentlichen beliebige Daten beliebiger Größe auf und wandeln sie in eine verschlüsselte Funktion einer vorgegebenen Größe um. Hier ist ein Beispiel, wie das aussehen könnte:
Daten werden in die Hash-Funktion eingegeben, die sie dann wie oben gezeigt in eine Bitfolge umwandelt. Wie Sie sehen, werden die verschiedenen Eingaben unabhängig von den Eingabedaten jeweils in eine Bitfolge gleicher Größe übersetzt. Dadurch sollen Brute-Force-Angriffe (also solche, bei denen jemand versucht, die verschlüsselten Daten zu erraten, indem er alle möglichen Lösungen errät) schwieriger werden. Bei SSL und anderen modernen Verschlüsselungsstandards ist Brute-Force aufgrund der Vielzahl an Möglichkeiten nicht möglich. Das bringt uns zu unserem nächsten Thema.
Bitgröße der Verschlüsselung
Bei der Verschlüsselung von Daten ist die vorgegebene Bit-String-Größe der wichtigste Faktor zur Verhinderung von Brute-Force-Angriffen. Je länger die Bitfolge ist, desto schwieriger wird es, alle möglichen Kombinationen zum Dekodieren der Zeichenfolge zu erraten. Insgesamt werden die verdauten Daten als „ Schlüssel “, und die Stärke dieses Schlüssels istteilweisegemessen daran, wie viele Bits es enthält.
Warum also nicht einfach einen Schlüssel erstellen, der beispielsweise eine Million Bits hat? Die Antwort ist Rechenleistung und Zeit. Je größer der Bitschlüssel, desto mehr Zeit und Rechenleistung benötigt ein Computer, um die Nachricht auf der Empfängerseite tatsächlich effektiv zu entschlüsseln. SSL verwendet tatsächlich unterschiedliche Schlüsselgrößen für unterschiedliche Zwecke und je nachdem, wie aktuell die Maschine selbst ist.
Für anfängliche Handshakes (d. h. die Überprüfung, ob der empfangende Computer der richtige Empfänger ist) ist ein viel größerer Wert von 2048 Bit erforderlich RSA-Schlüssel wird eingesetzt. Die Daten in diesem Schlüssel sind klein, werden aber nur zur Überprüfung dieses Datenaustauschs verwendet. Sobald sich die Systeme gegenseitig verifiziert haben, wechselt SSL zu 128-, 192- oder 256-Bit-Schlüsseln.
Sind Schlüsselgrößen wichtig? Natürlich. Je größer die Schlüsselgröße, desto mehr mögliche Kombinationen. Dennoch ist selbst die kleinere Schlüsselgröße von 128 Bit aufgrund der großen Anzahl möglicher Kombinationen unglaublich schwer mit einem Brute-Force-Angriff zu knacken. Mit der aktuellen Rechenleistung wäre es möglich, einen 128-Bit-Schlüssel zu knacken, aber es könnte eine Million Jahre dauern, bis dies gelingt. Allerdings ist die größte Sorge im Computerbereich derzeit das Wie Quanten-Computing wird es einfacher machen, SSL-Schlüssel zu knacken, was eine Erweiterung der Schlüsselgrößen erfordert. Aber diese Technologie wird in absehbarer Zeit nicht allgemein verfügbar sein.
Verschlüsselung auf den Punkt gebracht
Zusammenfassend lässt sich sagen, dass die Verschlüsselung Folgendes bewirkt:
- Verschlüsselt Daten, bevor sie über ein Netzwerk gesendet werden
- Sperrt diese Daten mit einem (vorerst) nahezu unzerbrechlichen Hash-Algorithmus
- Transportiert diese Daten sicher bei der Übertragung und verhindert so Snooping
- Ermöglicht nur den Empfang der Daten durch eine gesicherte Partei und deren Entschlüsselung nach Erhalt
Welche Vorteile bietet SSL?
Die SSL-Verschlüsselung bietet zwei wesentliche Vorteile:
- Es sichert die Datenübertragung zwischen Ihrem Computer und den Servern einer Website durch starke Verschlüsselung
- Es bietet die Bestätigung, dass die Website sowohl über ein aktualisiertes als auch authentifiziertes Sicherheitszertifikat verfügt.
Datensicherheit ist äußerst wichtig, insbesondere für Websites, die Kreditkarten- und Bankinformationen oder Passwörter und Benutzernamen sammeln. Jede Website, die dies tut, sollte über eine SSL-Verschlüsselung verfügen. Andernfalls ist die Website anfällig für Hackerangriffe, bei denen unterwegs Daten gestohlen werden können.
Bei SSL-Zertifikaten ist die Verifizierung äußerst wichtig. Es gibt eine lange Liste von Unternehmen, die eine SSL-Zertifizierung anbieten, und diese ist nicht immer kostengünstig oder einfach. Websites, die eine Hochsicherheits-SSL-Zertifizierung beantragen, müssen Folgendes bereitstellen:
- A Whois-Datensatz Identifizieren, wem der Domainname gehört
- Vollständig Anfrage zur Zertifikatssignierung (CSR)
- Unabhängige Validierung der Website und des Unternehmens, dem sie gehört
Dieser Prozess ist auch für die Websitebesitzer mit Kosten verbunden. Aus diesem Grund werden Phishing-Sites niemals hochsichere SSL-Zertifikate verwenden. Sie würden niemals in der Lage sein, die Inspektion zu bestehen, und die meisten stehlen Geld, anstatt es an andere Unternehmen auszuzahlen.
Es ist unwahrscheinlich, dass Zertifizierungsstellenunternehmen hochsichere SSL-Zertifikate für eine nicht seriöse Website ausstellen. Die meisten CA-Unternehmen sind bekannte Namen. Die Liste umfasst:
- Symantec
- Los Papa
- DigiCert
- Vertrauenswelle
- GlobalSign
- StartCom
- SwissSign
- Netzwerklösungen
- Aufgetaut
- mit
- Lassen Sie uns verschlüsseln
- GeoTrust
- Anvertrauen
- Komfortabel
In den meisten Fällen handelt es sich bei CA-Entitäten um Webhosts und Cybersicherheitsunternehmen.
So erkennen Sie, ob eine Website SSL verwendet
Es ist eigentlich ziemlich einfach festzustellen, ob eine Website SSL-Verschlüsselung verwendet. Sobald Sie eine Verbindung zu einer Website herstellen, führt der erste Handshake zwischen Ihrem Browser und dem Server zur Bestätigung, dass die Website SSL-Verschlüsselung verwendet. Dies zeigt sich auf zwei Arten:
- Die Adresse der Website wird als HTTPS-Site (Hypertext Transfer Protocol Secure) angezeigt.
- Direkt links oder rechts neben dem HTTPS erscheint ein Schlosssymbol
Darüber hinaus wird auf einigen Websites möglicherweise sogar der Firmenname mit dem Schlosssymbol angezeigt. Auf Websites, die Extended Validation SSL-Zertifikate, die höchste Stufe, erworben haben, wird der Firmenname neben der Adressleiste angezeigt.
So sieht das alles aus.
Die Webseite Stapelaustausch verwendet auf vielen seiner Seiten keine SSL-Verschlüsselung. Daher erscheint neben der Website-Adresse kein HTTPS- oder Schlosssymbol:
Ein Klick auf das „i“ zeigt an, dass die Website tatsächlich nicht sicher ist:
Mittlerweile verfügt Google Docs über eine SSL-Verschlüsselung, allerdings nicht über die höchste Stufe:
Während die Website der amerikanischen Bank Capital One die erweiterte Verifizierung nutzt, mit allem Drum und Dran:
Wann SSL wichtig ist – und wann nicht
Eine Frage, die Sie sich vielleicht fragen, ist, ob eine SSL-Verschlüsselung immer notwendig ist. Um es klar auszudrücken: Die Antwort lautetNEIN. Eine SSL-Verschlüsselung ist nicht immer notwendig. Allerdings sind diese Websites dasTunVerwenden Sie es und haben Sie unterschiedliche AnforderungenTypder SSL-Verschlüsselung, die sie nutzen oder haben sollten.
Um bei den Beispielen aus dem vorherigen Abschnitt zu bleiben: Bei StackExchange ist das wirklich nicht der FallbrauchenSSL-Verschlüsselung in allen Bereichen der Website. Tatsächlich verfügt die Website über eine SSL-Verschlüsselung, allerdings nur dort, wo sie tatsächlich benötigt wird. Wenn Sie ein Konto erstellen und sich auf der Website anmelden, sehen Sie, was passiert:
Dies liegt daran, dass Sie bei jeder Website ein Konto erstellen und sich bei ihrem Server anmelden müssensollenverfügen zumindest auf der grundlegendsten Ebene über eine SSL-Verschlüsselung. Durch die SSL-Verschlüsselung wird verhindert, dass jemand Ihre Anmeldeinformationen für Ihr Konto stiehlt, während diese Daten zwischen Ihrem Computer und dem Server der Website übertragen werden.
Im Allgemeinen gilt: Je wichtiger die zwischen Ihnen und dem Server einer Website übertragenen Daten sind, desto höher sollte die Sicherheitsstufe dieser Website sein. Aus diesem Grund verfügt eine Bank wie Capital One über eine erweiterte Verifizierung, während eine Website wie StackExchange über ein organisatorisches Verifizierungszertifikat verfügt.
Websites, die keine Informationen sammeln oder für den Zugriff auf Teile der Website eine Anmeldung erfordern, könnten zwar SSL-Verschlüsselung verwenden, dies ist jedoch nicht unbedingt erforderlich. Dennoch besteht immer die Sorge, ob eine Website auf dem Vormarsch ist oder ob es sich um eine gefälschte Phishing-Website handelt, die darauf abzielt, Daten zu stehlen.
Aufgrund der intensiven Überprüfung, die für den Erhalt von SSL-Zertifikaten erforderlich ist, verfügen Phishing-Sites nicht über die höchste Verschlüsselungsstufe, verfügen jedoch möglicherweise dennoch über eine HTTPS-Adresse oder sogar ein Schlosssymbol. Sie werden jedoch niemals den grünen Balken mit Firmennamen tragen, da dieser nur Websites mit Hochsicherheitszertifikaten verliehen wird. Darüber hinaus verfügen einige Websites möglicherweise über abgelaufene oder nicht verifizierte SSL-Zertifikate. Sie können sehen, wie das aussieht, indem Sie auf gehen badssl.com , eine einfache, lehrreiche Website, die solide Beispiele für jede Art von Abweichung von SSL-Zertifikaten bietet.
Beispielsweise kann in einer Chrome-Browsersitzung eine Website mit einem widerrufenen SSL-Zertifikat wie folgt angezeigt werden:
Alles in allem ist das bei einer Website nicht der FallbrauchenSSL-Verschlüsselung, aber wenn Sie eine Website besuchen, bei der Sie sich nicht sicher sind, vermeiden Sie am besten die Erstellung eines Logins auf dieser Website, bis Sie es zunächst vollständig überprüft haben.
Verwandt: Leitfaden zur SSL-Entschlüsselung mit Wireshark
Verschiedene Arten von SSL
Da es sich bei SSL um eine Form der Verschlüsselung und Verifizierung handelt, gibt es verschiedene Arten. Jeder Typ dient einem etwas anderen Zweck. Es ist jedoch wichtig zu beachten, dass unterschiedliche Arten von SSL-Zertifikaten nicht bedeuten, dass die Website diese bereitstelltmehroderwenigerSicherheit. Zertifikatstypen geben an, wie vertrauenswürdig die Website ist, da für den Erhalt dieser verschiedenen Typen unterschiedliche Validierungsstufen erforderlich sind.
Domänenvalidierte Zertifikate
DV-Zertifikate sind die kostengünstigsten verfügbaren SSL-Zertifikate. Diese Zertifikate dienen lediglich dazu, die Domainnamen-Registrierung mit dem Zertifikat abzugleichen. Die Anforderungen für den Erhalt dieser Zertifikate sind in der Regel niedrig, sodass viele Phishing-Websites sie tatsächlich recht einfach erhalten können. Diese Zertifikate erfordern keine strengeren Hintergrund- und Validierungsprüfungen als die anderen Zertifizierungsstufen.
Daher bieten viele Zertifizierungsstellen dieses Zertifikat tatsächlich nicht an, da die meisten es als zu wenig sicher und in den meisten Fällen als nicht sicher erachten. Für diese Websites wird weiterhin das Schlosssymbol angezeigt, sie bergen jedoch immer noch ein gewisses Risiko. Wenn Sie die Zertifikatsinformationen der Website überprüfen, werden Sie nur über den Domänennamen und die Zertifizierungsstelle informiert.
Diese Art von Zertifikat wird häufig für Websites verwendet, bei denen nur sehr begrenzte Sicherheitsbedenken bestehen. Die Anime-Website MyAnimeList.net ist eine solche Website. Hier sind die Zertifikatsdetails:
Tatsächlich sind Teile der Website nicht sicher, was dazu führte, dass mein Webbrowser diese Teile blockierte:
Obwohl DV-Zertifikate nützlich sein können, erlauben die Websites, auf denen sie normalerweise verwendet werden, keine individuellen Benutzerkonten und erfassen daher keine Benutzernamen und Passwörter.
Von der Organisation validierte Zertifikate
Der Erhalt dieser SSL-Zertifikate erfordert einen strengeren Validierungsprozess und ist daher auch teurer. Im Gegensatz zu den DV-Zertifikaten erfüllen OV-Zertifikate die RFC-Standards (Request for Comments), die von der Internet Engineering Task Force (IETF) und der Internet Society (ISOC) festgelegt wurden. Websites müssen Validierungsinformationen austauschen und eine Zertifizierungsstelle kann das Unternehmen direkt kontaktieren, um Informationen zu überprüfen.
Wenn Sie die Zertifikatsinformationen überprüfen, sehen Sie den Namen der Website und die Person, von der sie verifiziert wurde. Sie erhalten jedoch keine Eigentümerinformationen.
Wikipedia ist ein Beispiel für eine Website, die ein OV-Zertifikat verwendet:
Erweitertes Validierungszertifikat
Ein EV-Zertifikat ist die höchste Stufe und bietet die größte Sicherheit und Validierung. Der für den Erhalt eines EV-Zertifikats erforderliche Prozess ist sowohl umfangreich als auch teuer. Nur Websites mit dem EV-Zertifikat erhalten auch in Ihrem Webbrowser die grüne Balkenvalidierung anhand ihres Website-Namens. Leider können nicht alle Webbrowser den grünen EV-Balken anzeigen. Es ist nur für die folgenden Browser verfügbar:
Google Chrome, Internet Explorer 7.0+, Firefox 3+, Safari 3.2+, Opera 9.5+
Ältere Browser zeigen es nicht an. Dies bedeutet jedoch nicht, dass es nicht vorhanden ist. Dies bedeutet lediglich, dass Benutzer älterer Browser möglicherweise die Zertifikatinformationen überprüfen müssen, um die Validierungsstufe zu überprüfen.
Wenn man die detaillierteren Informationen zu Capital One aufruft, erkennt man, dass die Website tatsächlich ein EV-SSL-Zertifikat verwendet:
EV-Zertifikate sind bei weitem die vertrauenswürdigsten und sichersten, aber nicht unbedingt für jede Website erforderlich. Die meisten Websites kommen tatsächlich mit einer DV oder einer OV aus. Wenn eine Website jedoch Informationen von Ihnen sammelt, sollten Sie ihr nicht vertrauen, es sei denn, sie verfügt über ein OV-Zertifikat oder höher.
Allerdings leiten einige Websites Sie bei Zahlungen auf eine externe Website weiter. Diese Websites nutzen möglicherweise externe Dienste für ihr Zahlungssystem, beispielsweise PayPal, das über eine hochsichere EV-Zertifizierung verfügt. Auf diese Weise müssen sie kein eigenes Elektrofahrzeug kaufen, sondern verlassen sich stattdessen auf die externen Dienste, die diese Sicherheits- und Zusicherungsebene bereitstellen.
Probleme mit DV- und OV-Zertifikaten
Obwohl viele Zertifizierungsstellen keine DV-Zertifikate anbieten, tun dies einige. Da für CA-Zertifikate keine weiteren Hintergrundüberprüfungen und Validierungen erforderlich sind, sind einige Besitzer von Phishing-Websites dazu übergegangen, diese Zertifikate zu erwerben, um das System auszutricksen. Leider gibt es keine direkte Möglichkeit, zwischen DV- und OV-Websites zu unterscheiden, ohne sich die Zertifikatsinformationen genauer anzusehen. Aus diesem Grund greifen viele Websites auf EV-Zertifikate (Hochsicherheitszertifikate) zurück. Sie erfordern wie OV-Zertifikate eine umfassendere Validierung, werden aber zusätzlich mit dem grünen Balken mit dem Firmennamen sowie dem Schlosssymbol und umfangreichen Validierungsinformationen geliefert.
Bei den meisten Browsern können Sie das Zertifikat überprüfen, indem Sie auf das Schlosssymbol klicken, auf „Weitere Informationen“ klicken und dann auf „Zertifikat anzeigen“ klicken:
Daraufhin werden die detaillierten Informationen zum Zertifikat dieser Website angezeigt:
Hier können wir sehen, dass Stack Exchange tatsächlich ein von DigiCert ausgestelltes High Assurance EV-Zertifikat verwendet. Wir können ihrer Website vertrauen und müssen uns keine Gedanken über die Anmeldung mit einem sicheren Passwort machen.
Gibt es Alternativen zu SSL?
Obwohl SSL einen großen Teil des gesamten gesicherten Internetverkehrs verschlingt, gibt es einige bemerkenswerte Alternativen zu dieser Verschlüsselungsmethode.
Transport-Socket-Schicht
TLS oder Transport Socket Layer ist der Nachfolger von SSL. Tatsächlich kann es sich in vielen Fällen bei einem sogenannten SSL-Zertifikat tatsächlich um ein TLS-Zertifikat handeln. Das ist kein Zufall. TLS, ein neuerer Standard, basiert stark auf SSL, wobei die Änderungen so gering sind, dass viele Menschen, auch direkt in der Branche, immer noch von TLS und SSL gemeinsam sprechen (normalerweise mit der Notation „SSL/TLS“). Die Hauptunterschiede zwischen SSL und TLS sind aktualisierte Verschlüsselungen und eine bessere Sicherheit für TLS, weshalb es SSL ersetzt hat. Dennoch bezeichnen die meisten Menschen TLS immer noch als SSL, da die beiden Protokolle sehr ähnlich sind. Da beide dieselben Zertifikate verwenden, war die Umstellung für die meisten Websites recht einfach.
Sichere Shell
Secure Shell (SSH) ist eine direkte Konkurrenz zu SSL und in vielerlei Hinsicht ebenso sicher. SSH unterscheidet sich jedoch vor allem in zweierlei Hinsicht. Erstens ist SSH grundsätzlich kostenlos erhältlich. Im Gegensatz zu SSL nutzt SSH keine Zertifizierungsstellen zur Überprüfung und Durchführung der Authentifizierung. Außerdem verwendet SSH im Gegensatz zu SSL auch eine Reihe von Dienstprogrammen, die mit der Verschlüsselung arbeiten. Dies kann den Fernbetrieb vernetzter Maschinen und die Erstellung von Anmeldeanforderungen über ein sicheres Netzwerk umfassen. SSH ist bei Netzwerkadministratoren beliebter. Der Grund dafür, dass SSH weniger sicher ist als SSL/TLS, liegt darin, dass die Schlüsselverwaltung im Gegensatz zu SSL kaum Kontrolle hat. Dies bedeutet, dass Verschlüsselungsschlüssel verloren gehen, gestohlen oder missbräuchlich verwendet werden können, wodurch es schwieriger wird, den Besitz zu überprüfen.
IPSec
Internet Protocol Security verfolgt einen anderen Ansatz für Netzwerksicherheit und Verschlüsselung. Während SSL/TLS auf Anwendungsebene operiert, wurde IPSec als Punkt-zu-Punkt-Verschlüsselung für ein gesamtes Netzwerk konzipiert. Daher arbeitet IPSec auf einer anderen Netzwerkprotokollschicht (SSL arbeitet auf Schicht 1, HTTP, während IPSec auf Schicht 3, IP, arbeitet). Dies gibt IPSec einen ganzheitlicheren Ansatz für die Netzwerksicherheit. IPsec ist außerdem eher für permanente Verbindungen zwischen zwei Maschinen konzipiert, während SSL für nicht permanente Sitzungen konzipiert ist.
IPSec wurde ursprünglich für IPv6 vorgeschrieben, da es Netzwerksicherheit auf IP-Ebene bietet. Tatsächlich wurde IPsec ursprünglich als Netzwerksicherheitsmethode für IPv6 entwickelt. Die größte Schwäche von IPSec besteht jedoch darin, dass es keine individuellere Authentifizierung bietet. Sobald jemand Zugang zu einem durch IPSec gesicherten Netzwerk erlangt hat, kann er auf alles im Netzwerk zugreifen; Solange keine andere Authentifizierung vorhanden ist, gibt es keine Zugriffsbeschränkung.
Darüber hinaus ist IPSec im Hinblick auf den Fernzugriff keine Ausnahme. Es ist eher für Punkt-zu-Punkt-Verbindungen zwischen Netzwerken konzipiert, beispielsweise wenn ein großes Unternehmen für alle seine Geschäftsstandorte sichere Verbindungen zu seinen Servern herstellt. Das Ermöglichen einer Verbindung für Remote-Benutzer (z. B. Mitarbeiter, die von zu Hause oder auf Reisen arbeiten möchten) erfordert mehr Wartung und erfordert gleichzeitig separate Anwendungen.
SSL-Erweiterungen und VPN-Lösungen
Da es sich bei SSL in erster Linie um einen anwendungsbasierten Verschlüsselungsstandard handelt, wurden Lösungen entwickelt, die sicherstellen, dass SSL auch auf unterschiedliche Arten angewendet werden kann.
OpenSSL auf VPN
OpenSSL ist eine Open-Source-Version von SSL, die in vielen Nicht-Browser-Anwendungen verwendet wird. Am bemerkenswertesten ist, dass es sich um die primäre Sicherheitsmethode handelt, die von VPNs verwendet wird, die auf der OpenVPN-Plattform arbeiten. OpenSSL ist genau das, was es klingt: eine Open-Source-Version von SSL, die kostenlos verwendet und herumgespielt werden kann. Wie bei vielen Open-Source-Initiativen ist OpenSSL in hohem Maße darauf angewiesen, dass die Community, die es nutzt, auf dem Laufenden bleibt. Dies hat zu einiger Frustration geführt, da OpenSSL nicht so viel Sicherheit bietet wie ein browserbasiertes SSL-Zertifikat, das über eine Zertifizierungsstelle erworben wurde. Es wurden bemerkenswerte Schwachstellen gefunden, aber auch OpenSSL wird regelmäßig aktualisiert, um diesen Schwachstellen entgegenzuwirken.
Es gibt mehrere Forks für dieses Programm, darunter Googles eigenes BoringSSL . Positiv zu vermerken ist, dass das OpenSSL-Toolkit ständige Verbesserungen ermöglicht, da es Open Source ist.
Sicheres Surfen mit HTTPS Everywhere
HTTPS Everywhere ist ein kostenloses Produkt der Electronic Frontier Foundation und eine Browsererweiterung für Chrome, Firefox und Opera, mit der Ihr Browser nach Möglichkeit HTTPS-Seiten wählt. HTTPS Everywhere funktioniert auch, indem es zum Schutz Ihrer Daten beiträgt, während Sie mit einer Website verbunden sind, die auf einigen, aber nicht allen Seiten HTTPS verwendet. Solange die WebsiteunterstütztHTTPS, HTTPS Everywhere kann die Seiten in HTTPS konvertieren und die Daten verschlüsseln. Allerdings können, wie aus der FAQ-Seite von EFF hervorgeht, Websites, die auf fragwürdige Links Dritter, wie z. B. Bilder, verweisen, nicht vollständig durch HTTPS gesichert werden.
Sie können HTTPS Everywhere auch so einstellen, dass unsichere Links und Phishing-Websites blockiert werden. Dies ist eine besondere Sicherheitsfunktion, die verhindert, dass Internetnutzer versehentlich auf Phishing-Websites stoßen.
„ HTTPS ” von Christiaan Colen, lizenziert unter CC BY 2.0