Die Oktane war sehr erfolgreich! Die Oktane war sehr erfolgreich! Sehen Sie sich unsere On-Demand-Sessions an. →
+49 (892) 620-3329 Suche

SSL-Handshake (TLS-Handshake) erklärt

Aktualisiert: 30. August 2024 Lesezeit: ~

Topics

Security

Inhalt

 

Dieser Artikel wurde maschinell übersetzt.

 

Ein SSL-Handshake definiert eine Verbindung zwischen zwei Geräten, z. B. Ihrem Browser und dem Server, der die Website unterstützt, die Sie besuchen möchten.

Während eines SSL-Handshakes ermitteln die beiden Geräte:

  • Welche Sicherheitsversion beide Parteien verwenden werden
  • Welche Art der Verschlüsselung schützt die Informationen
  • Wie beide Parteien verifiziert werden

Das Wort "SSL" in SSL-Handshake ist eine irreführende Bezeichnung. Das SSL-Protokoll (Secure Sockets Integration) ist alt, und die IT wird heutzutage nur noch selten verwendet. Jetzt verwenden die meisten Geräte Transport Integration Security (TLS).

Der Begriff "TLS-Handshake" ist genauer, aber es ist üblich, dass dieser Schritt stattdessen als einfacher SSL-Handshake bezeichnet wird.

Was ist ein SSL-Handshake?

Rufen Sie eine Website in Ihrem Browser auf, und Sie glauben vielleicht, dass die Verbindung sowohl sofort als auch spontan hergestellt wurde. In Wirklichkeit müssen die beiden Geräte aushandeln, wie sie kommunizieren und Informationen übertragen. Diese Aushandlung erfolgt über einen SSL-Handshake.

Wie bereits erwähnt, wird der SSL-Handshake manchmal auch als TLS-Handshake bezeichnet. Hier ist der Grund.

Netscape entwickelte 1995 das SSL-Protokoll. Leider war die IT mit Sicherheitslücken gespickt. In den frühen 2000er Jahren wechselte die Branche zum TLS-Protokoll , um eine bessere Sicherheit zu versprechen. Der Handshake-Prozess bleibt trotz der Namensänderung gleich.

Ein SSL-Handshake ist ein Prozess, der eine Kommunikationssitzung startet. Die beiden Parteien bestätigen sich gegenseitig, legen fest, wie sie Informationen schützen wollen, überprüfen die Sicherheitsprotokolle der jeweils anderen Partei und legen Sitzungsschlüssel fest.

Erläuterung der SSL-Handshake-Schritte

Wie wir erklärt haben, handelt es sich bei SSL-Handshakes um Verhandlungen. Die beiden Parteien einigen sich auf Stile und Protokolle. Die Schritte des SSL-Handshakes ergeben sich aus diesen Vereinbarungen und können je nach Wunsch der beiden Seiten variieren.

Im Allgemeinen läuft ein SSL-Handshake über die folgenden Schritte ab:

  1. Kontakt: Ein Browser sendet eine "Client Hello"-Nachricht an den Server. Die Nachricht enthält wichtige Details, wie z. B. die SSL-Version, die der Client verwendet, Verschlüsselungseinstellungen (mehr dazu in einer Minute) und sitzungsspezifische Informationen.

  2. Erste Antwort: Der Server sendet einen Sicherheitsnachweis (über Zertifikat), die Verschlüsselungseinstellungen des Servers und sitzungsspezifische Daten zurück.

  3. Authentifizierung: Der Browser überprüft das Sicherheitszertifikat, um sicherzustellen, dass die IT-Abteilung Kontakt mit der richtigen Stelle aufgenommen hat.

  4. Schlüsselaustausch: Der Browser und der Server tauschen Schlüssel aus und bestätigen so die Sicherheit ihres Austauschs.

  5. Einhüllen: Sowohl der Server als auch der Browser bestätigen, dass die Arbeit abgeschlossen und der Handshake beendet ist.

Trotz der Komplexität dieser Schritte dauert es nur wenige Sekunden, bis beide Seiten ihre Arbeit erledigt haben. Nur wenige Benutzer bemerken die Verzögerung.

Wie sicher ist ein SSL/TLS-Handshake?

Wenn Sie sich die SSL-Handshake-Schritte ansehen, werden Sie eine Erwähnung des Schlüsselaustauschs bemerken. Dieser Prozess beinhaltet Verschlüsselung, und der Prozess verwendet zwei Formulare.

Die beiden Formen der Verschlüsselung umfassen:

  • Asymmetrische Verschlüsselung. Für die Beschreibung wirdein öffentlicher Schlüssel verwendet, der über das Sicherheitszertifikat des Servers verfügbar ist. Für die Entschlüsselung wird ein privater Schlüssel verwendet.
  • Symmetrische Verschlüsselung. Nach der asymmetrischen Verschlüsselung richten beide Parteien einen gemeinsamen Schlüssel ein. Dieser einzelne Sitzungsschlüssel ermöglicht eine sichere Verbindung mit geringerer Serverbelastung.

Die beiden Parteien einigen sich auch auf eine sogenannte "Cipher Suite", eine Reihe von Regeln darüber, welche Art von Authentifizierung erforderlich ist, wie Daten verschlüsselt werden und vieles mehr.

Diese Schritte sollten die Datenübertragung schützen. Doch leider sind Angriffe immer noch möglich. Die Sicherheitsverletzung-Attacke beispielsweise ermöglicht es Hackern, Daten während des Transports zu verändern. Hacker können auch übernehmen und einen Man-in-the-Middle-Angriff durchführen. Das Problem beginnt mit Daten, die Angreifer stehlen, wenn die IT verschlüsselt ist.

Viele Sicherheitsexperten wurden sich der Sicherheitsrisiken durch Verschlüsselung bereits 2012 bewusst, als die Nachricht über eine anfällige Android-App bekannt wurde. Haben Sie die Geschichte verpasst? Lesen Sie hier unsere Zusammenfassung.

Referenzen

Was ist Transport integrieren Security (TLS)? (November 2018). Netzwerk-Welt. 

Inside the Sicherheitsverletzung Attack: So vermeiden Sie HTTPS-Traffic-Exploits. TechTarget.

Setzen Sie Ihre Identity Journey fort

Testen Sie Okta jetzt kostenlos – oder vereinbaren Sie einen Termin mit unserem Team, um über Ihre konkreten Anforderungen zu sprechen.

Erste Schritte
Kontakt