HTTPS


Verschlüsselte symmetrische Kommunikation zwischen Web-Client und Web-Browser

  1. Ein Web-Client (z.B. Chrome-Browser) sendet ein HTTPS-Request zum gewünschten Web-Server (z.B. https://www.gymnasium-westerstede.de) mit der Anfrage: ich möchte verschlüsselt kommunizieren.
  2. Der Web-Server akzeptiert die Verbindung und sendet sein Zertifikat mit dem öffentlichen Schlüssel seines Server-Sitzungsschlüssels, bestehend aus einem privaten und öffentlichen Server-Sitzungsschlüssel zur Authentifizierung an den Client.
  3. Der Web-Client überprüft das Server-Zertifikat und dessen Gültigkeit mit Hilfe einer Zertifizierungsstelle. Erkennt der Web-Client das Zertifikat als ungültig, wird die Verbindung sofort abgebrochen. Erkennt der Web-Client das Zertifikat als gültig, erzeugt der Client den symmetrischen Sitzungsschlüssel.
  4. Mit dem öffentlichen Server-Sitzungsschlüssel verschlüsselt der Web-Client den symmetrischen Sitzungsschlüssel und schickt ihn an den Web-Server.
  5. Mit dem privaten Server-Sitzungsschlüssel entschlüsselt der Web-Server den verschlüsselten symmetrischen Sitzungsschlüssel.
  6. Der Web-Server bestätigt dem Web-Client den Empfang und die erfolgreiche Entschlüssung des symmetrischen Sitzungsschlüssels.
  7. Die Daten, welche der Web-Client an der Web-Server schickt, werden vom Web-Client mit dem symmetrischen Sitzungsschlüssel verschlüsselt, an der Web-Server gesendet und nach Empfang vom Web-Server mit dem symmetrischen Sitzungsschlüssel entschlüsselt.
  8. Die Daten, welche der Web-Server an den Web-Client sendet, werden vom Web-Server mit symmetrischen Sitzungsschlüssel verschlüsselt, an den Web-Client gesendet und nach dem Empfang vom Web-Client mit dem symmetrischen Sitzungsschlüssel entschlüsselt.
  9. Wenn die Sitzung zwischen Web-Server und Web-Client beendet ist, werden die Sitzungsschlüssel vom Server und vom Client vernichtet.

Einrichtung von HTTPS auf einem Webserver

Um HTTPS auf Ihrer Webseite zu aktivieren, brauchen Sie ein Zertifikat (eine Datei) von einer Zertifizierungsstelle (CA). Let’s Encrypt ist eine anerkannte kostenlose Zertifizierungsstelle. Um für ein Webseiten-Domain von Let’s Encrypt ein Zertifikat zu erhalten, muss automatisiert nachgewiesen werden, dass man die Kontrolle über diese Domain haben. Dieser automatisierte Nachweis erfolgt meist mit einer Software (z.B. Certbot). Certbot ACME kann Zertifikate automatisch erstellen und installieren.

Weitere Informationen: Lets Encrypt.


Überprüfung einer Domain

Wenn man prüfen möchte wie eine Domain in Bezug auf eine verschlüsselte Kommunikation konfiguriert wurde, kann man unter folgendem Link eine Analyse durchführen lassen:

SSL-Test