Verfahren zum Verschlüsseln von Webseiten

Ob ein Webserver gut verschlüsselt, kannst du ganz einfach online testen lassen. Etwaige Schwachstellen werden farblich markiert.

Wenn du es genauer wissen willst, musst du dich mit einer recht komplexen Variantenvielfalt auseinandersetzen:

		Beispiele
		geknackt	noch sicher (Stand: 2016)
Protokoll Es gibt SSL und den Nachfolger TLS, der häufig ebenso "SSL" genannt wird.		SSL3 SSL2 SSL1 (Wurde rasch durch SSL2 ersetzt.)	TLS, Version 1.2 oder 1.3 – ältere TLS-Versionen werden von Browsern nicht mehr unterstützt
Asymmetrische Verfahren Hier gibt es öffentliche und private Schlüssel. Da asymmetrische Verfahren sehr viel Rechenzeit brauchen, werden sie nur zur Übertragung eines symmetrischen Schlüssels (siehe nächste Zeile) verwendet.			RSA Diffie-Hellmann – Schützt gegen nachträgliche Entschlüsselung, wenn der geheime Schlüssel gestohlen wurde ("Perfect Forward Secrecy").
Symmetrische Verfahren Sind ca. tausendmal schneller als asymmetrische Verfahren. Verschlüsselung und Entschlüsselung passieren mit dem gleichen Schlüssel.		RC4 und Vorgänger – US-Geheimdienst kann wahrscheinlich mitlesen. DES	Triple DES AES Camellia
Schlüssellänge Je länger, desto mehr Möglichkeiten und desto sicherer; bei asymmetrischen Verfahren sind nicht alle möglichen Bitfolgen zulässige Schlüssel, daher müssen hier längere Schlüssel gewählt werden.	bei asymmetrischen Verfahren	bis 768 bit	ab 2048 bit
	bei symmetrischen Verfahren	bis 56 bit	ab 80–128 bit
Signierung Damit soll die Echtheit der Datenübertragung gesichert werden. Hierfür werden Hash-Funktionen verwendet, die eine Art Prüfsumme berechnen.		MD5 – gefälschte Zertifikate möglich!	SHA – Version 1 wird möglicherweise bald geknackt. DSA – Wird nur vereinzelt verwendet.

Die Sicherheit eines Verschlüsselungsverfahrens lässt sich nicht beweisen. Es ist daher ständig mit neuen Erkenntnissen zu rechnen.

Wie schwierig es ist, beim Verschlüsseln von Webseiten alles richtig zu machen, zeigen Schwachstellen selbst bei großen Firmen:

Österreiche Websites für Online-Bankgeschäfte verwendeten 2015 nicht nur die sichersten Verfahren, sondern tw. auch geknackte!
Die Deutsche Bahn hat 2014 eine Sicherheitslücke gestopft und ist dabei auf ein längst geknacktes Verfahren ausgewichen (RC4), das sie den Benutzern auch noch aufzwang.

Weiter

Web-Anwendungen

Weblinks

Netcraft: Site report – Alternative zu der Prüfseite von SSL-Labs, die ich ganz oben bereits verlinkt habe
Teste deinen Browser auf der Seite von SSL-Labs

Seite erstellt am 27.11.2016 – letzte Änderung am 15.6.2020

Computer

Hauptthemen

Verfahren zum Verschlüsseln von Webseiten

Weiter

Weblinks