SSL wurde ursprünglich von Netscape entwickelt um eine sichere, vertrauenswürdige Verbindung zwischen Client und Server zu gewährleisten. Hierbei gilt:
Das SSL Protokoll ist zwischen dem TCP (OSI-Layer 4) und den Übertragungsdiensten (wie z.B. HTTP, FTP, IMAP etc.) angesiedelt und dient einer gesicherten Transaktion z.B. im E-Commerce-Umfeld. SSL sorgt hierbei dafür, dass der Anwender eindeutig mit dem gewünschten Server verbunden ist (Authentisierung) und dass die sensiblen Daten über eine gesicherte (verschlüsselte) Verbindung übertragen werden.
Bei der SSL Server Authentisierung
kann die Client-Software die Identität eindeutig anhand eines Zertifikats
auf dem Server überprüfen. Dieses Zertifikat muss von einer CA (Certificate
Authority) - wie z.B. Verisign - erworben
worden sein und kann pro Jahr einige hundert Dollar/ Euro kosten. Die Server
Authentisierung wird z.B. bei der Übertragung von Kredikkarten-Daten eingesetzt.
Gleiches gilt für die weitaus seltener eingesetzte SSL Client Authentisierung.
Diese Client Authentisierung kommt z.B. zum Einsatz, wenn ein Bankserver vertrauliche
Daten an den Client sendet.
Um die Vertraulichkeit der Daten zu wahren, wird die SSL Verschlüsselung
eingesetzt. Sie sorgt gleichzeitig noch für die Integrität der übertragenen
Daten, d.h. sie bemerkt Veränderungen, die während der Übertragung
der Daten aufgetreten sind.
Der wichtigste für den Schlüsselaustausch eingesetzte asymmetrischen Algorithmus ist: RSA
Die wichtigsten symmetrischen Verschlüsselungsverfahren sind (in Klammer der zugehörige Message-Authentisierungs-Algorithmus): DES (SHA-1), Triple-DES (SHA-1), RC-4 (MD5)
Weitere Informationen gibt's bei Netscape (in Englisch)!
In neuester Zeit wird SSL auch zum Aufbau von VPN-Tunneln verwendet. Hierzu muss man zwei Einsatzgebiete unterscheiden
Der Anwender greift im ersten Fall mit seinem Browser auf einen Webserver, der gleichzeitig das Tunnelende im Netz darstellt. Im zweiten Fall müssen die Daten per Active-X- Applet in ein "browser-konforme" Format gebracht werden. D.h. das Applet emuliert den eigentlichen Client.
Der Vorteil dieser Lösung bestehen darin, dass der Zugriff über
das VPN ins Firmennetz ohne eigenen VPN-Client vorgenommen werden kann - also
z.B. auch aus einem Internet-Café heraus. Für den zweiten Fall müssen
jedoch die benötigten Applets installiert werden.
Der Nachteil besteht darin, dass es sich bei SSL eigentlich um kein Tunnelprotokoll
handelt. Die Daten müssen daher immer auf den Layer 7 des OSI-Modelles
durchgereicht und ggf. emuliert werden, was sich negativ auf die Performance
auswirkt. Zumindest im zweiten Fall besteht zusätzlich das Problem der
korrekten Arbeitsweise des "Active-X-Emulators"!
Eine Auswahl der wichtigsten Dienste, die auf SSL aufsetzen bzw. durch SSL gewichert werden können finden Sie in folgender Tabelle:
| Dienst | Port |
| http (https) | 443 |
| ftp/ ftp-data | 990/ 989 |
| telnet | 992 |
| pop3 | 995 |
| imap4 | 993 |
| ldap | 636 |
| nntp | 563 |
| irc | 994 |
| uucp | 4031 |
Sollten Sie weitere Fragen
zu diesem Thema haben schauen Sie in meiner Schulung
nach oder dann posten Sie diese bitte in meinem
Forum.
Und bitte vergessen Sie
nicht, sich in meinem Gästebuch einzutragen!
 |
[zurück zur Security-Seite] | (Diese Seite wurde erstellt
am 1.9.2003, |