Phenquestions
Probleme mit HTTP und Klartext
Das Internet ist ein nicht vertrauenswürdiger Kommunikationskanal. Wenn Sie Informationen von einer alten HTTP-Site http:// senden oder empfangenwww.Beispiel.com In Ihrem Browser können viele Dinge auf halbem Weg mit Ihren Paketen passieren.
- Ein schlechter Akteur kann die Kommunikation abfangen, die Daten für sich selbst kopieren, bevor er sie auf dem Kanal an Sie oder den Server, mit dem Sie gesprochen haben, erneut sendet. Ohne das Wissen einer der Parteien werden die Informationen kompromittiert. Wir müssen sicherstellen, dass die Kommunikation Privatgelände.
- Ein schlechter Akteur kann die Informationen ändern, während sie über den Kanal gesendet werden. Bob könnte eine Nachricht gesendet haben "x" aber Alice würde empfangen "j" von Bob, weil ein schlechter Schauspieler die Nachricht abgefangen und modifiziert hat. Mit anderen Worten, die Integrität der Nachricht ist kompromittiert.
- Schließlich und vor allem müssen wir sicherstellen, dass die Person, mit der wir sprechen, tatsächlich der ist, für den sie sich ausgibt. Zurück zum Beispiel.com Domain. Wie können wir sicherstellen, dass der Server, der uns geantwortet hat, tatsächlich der rechtmäßige Inhaber von www ist?.Beispiel.com? An jedem Punkt in Ihrem Netzwerk können Sie zu einem anderen Server fehlgeleitet werden. Ein DNS irgendwo ist für die Konvertierung eines Domainnamens verantwortlich, z. B. www.Beispiel.com, in eine IP-Adresse im öffentlichen Internet. Ihr Browser hat jedoch keine Möglichkeit zu überprüfen, ob die vom DNS übersetzte IP-Adresse.
Die ersten beiden Probleme können gelöst werden, indem die Nachricht verschlüsselt wird, bevor sie über das Internet an den Server gesendet wird. Das heißt, durch die Umstellung auf HTTPS. Das letzte Problem, das Identitätsproblem, ist jedoch, wo eine Zertifizierungsstelle ins Spiel kommt.
Initiieren verschlüsselter HTTP-Sitzungen
Das Hauptproblem bei der verschlüsselten Kommunikation über einen unsicheren Kanal ist „Wie starten wir es?“?”
Der allererste Schritt besteht darin, dass die beiden Parteien, Ihr Browser und der Server, die Verschlüsselungsschlüssel austauschen, die über den unsicheren Kanal ausgetauscht werden sollen. Wenn Sie mit dem Begriff Schlüssel nicht vertraut sind, stellen Sie sie sich als wirklich langes zufällig generiertes Passwort vor, mit dem Ihre Daten verschlüsselt werden, bevor sie über den unsicheren Kanal gesendet werden.
Nun, wenn die Schlüssel über einen unsicheren Kanal gesendet werden, kann das jeder mithören und die Sicherheit Ihrer HTTPS-Sitzung in Zukunft gefährden. Wie können wir außerdem darauf vertrauen, dass der Schlüssel von einem Server gesendet wird, der behauptet, www zu sein?.Beispiel.com ist in der Tat der tatsächliche Eigentümer dieses Domainnamens? Wir können eine verschlüsselte Kommunikation mit einer böswilligen Partei haben, die sich als legitime Site ausgibt, und kennen den Unterschied nicht.
Das Problem der Identitätssicherung ist also wichtig, wenn wir einen sicheren Schlüsselaustausch gewährleisten wollen.
Zertifizierungsstellen
Sie haben vielleicht schon von LetsEncrypt, DigiCert, Comodo und einigen anderen Diensten gehört, die TLS-Zertifikate für Ihren Domainnamen anbieten. Sie können diejenige auswählen, die Ihren Bedürfnissen entspricht. Nun muss die Person/Organisation, die die Domain besitzt, gegenüber ihrer Zertifizierungsstelle in irgendeiner Weise nachweisen, dass sie tatsächlich die Kontrolle über die Domain hat. Dies kann erfolgen, indem Sie entweder einen DNS-Eintrag mit einem eindeutigen Wert darin erstellen, wie von der Zertifizierungsstelle angefordert, oder Sie können Ihrem Webserver eine Datei mit von der Zertifizierungsstelle angegebenen Inhalten hinzufügen, die CA kann diese Datei dann lesen und bestätigen Sie, dass Sie der gültige Inhaber der Domain sind.
Dann verhandeln Sie ein TLS-Zertifikat mit der CA, und das führt zu einem privaten Schlüssel und einem öffentlichen TLS-Zertifikat, das für Ihre Domäne ausgestellt wird. Nachrichten, die mit Ihrem privaten Schlüssel verschlüsselt wurden, können dann mit dem öffentlichen Zertifikat entschlüsselt werden und umgekehrt. Dies wird als asymmetrische Verschlüsselung bezeichnet
Die Client-Browser wie Firefox und Chrome (manchmal sogar das Betriebssystem) verfügen über das Wissen von Zertifizierungsstellen. Diese Informationen werden von Anfang an (dh bei der Installation) in den Browser/das Gerät eingespeichert, damit sie wissen, dass sie bestimmten CAs vertrauen können. Jetzt, wenn sie versuchen, eine Verbindung zu www herzustellen.Beispiel.com über HTTPS und sehen Sie ein Zertifikat, das beispielsweise von DigiCert ausgestellt wurde, kann der Browser dies tatsächlich mit den lokal gespeicherten Schlüsseln überprüfen. Eigentlich sind es noch ein paar Zwischenschritte, aber dies ist eine gute vereinfachte Übersicht über das Geschehen.
Nun, da das Zertifikat von www.Beispiel.com kann vertrauenswürdig sein, dies wird verwendet, um einen eindeutigen symmetrischen Verschlüsselungsschlüssel auszuhandeln, der zwischen dem Client und dem Server für den Rest ihrer Sitzung verwendet wird. Bei der symmetrischen Verschlüsselung wird ein Schlüssel sowohl zum Verschlüsseln als auch zum Entschlüsseln verwendet und ist normalerweise viel schneller als sein asymmetrisches Gegenstück.
Nuancen
Wenn Ihnen die Idee von TLS und Internetsicherheit zusagt, können Sie dieses Thema weiter vertiefen, indem Sie sich mit LetsEncrypt und ihrer kostenlosen TLS-CA beschäftigen. Es gibt viel mehr Details zu diesem ganzen Gelaber als oben angegeben.
Andere Ressourcen, die ich empfehlen kann, um mehr über TLS zu erfahren, sind Troy Hunts Blog und Arbeiten von EFF wie HTTPS Everywhere und Certbot. Alle Ressourcen sind kostenlos zugänglich und sehr günstig zu implementieren (Sie müssen nur für die Domainnamenregistrierung und die stündlichen VPS-Gebühren bezahlen) und machen Sie praktische Erfahrungen.
