HTTPS
secure connections for the
interwebtz
Web Technology - WS 2014 / 15
Stephan Lindauer, Johannes Engl
Inhalt
●Risiken von HTTP
●Funktionsweise von HTTPS
●Kasperletheater
●Über dem Tellerrand
●Setup von HTTPS auf Webserver
Das Problem
Das Problem
Das Problem
Das Problem
Wireless Network
Das Problem
Wireless Network
HTTPS
● HyperText Transfer Protocol Secure
● Protokoll um Daten im Web abhörsicher zu übertragen
● Entwickelt von Netscape...
HTTPS im Osi-Modell
HTTPS
Verschlüsselte Übertragung
+
Zertifizierung
= 2 *
Crypto 101
“Wenn du Daten mit meinem
Public Key verschlüsselst, kann
nur ich mit meinem Private Key
die Nachricht entschlü...
Crypto 101
“Wenn du Daten mit meinem
Public Key verschlüsselst, kann
nur ich mit meinem Private Key
die Nachricht entschlü...
Crypto 101
“Wenn du Daten mit meinem
Public Key verschlüsselst, kann
nur ich mit meinem Private Key
die Nachricht entschlü...
Crypto 101
“Ich kann dir beweisen, dass
ich im Besitz eines
bestimmten
Geheimnisses bin”
Crypto 101
“Ich kann dir beweisen, dass
ich im Besitz eines
bestimmten
Geheimnisses bin, ...”
“...ohne dir das Geheimnis z...
Crypto 101
Private
Public
+Daten
+
=
Signatur
Verbindungsaufbau
Client Server
Client Hello
Zertifikat, Public Key
Symetrischer Cypher verschlüsselt
GET /
Response
Verbindungsaufbau
Fragen
● Warum macht man nicht hin und zurück immer
Asynchrone Verschlüsselung?
● Wie sicher ist die Verschlüsselung?
Fragen
● Warum macht man nicht hin und zurück immer
Asynchrone Verschlüsselung?
● Wie sicher ist die Verschlüsselung?
● Extended vs Normal
○ Identität, Adresse, Eigentümer der Domain
○ für Behörden, Personengesellschaften,
Kapitalgesellscha...
● Extended vs Normal
○ Identität, Adresse, Eigentümer der Domain
○ für Behörden, Personengesellschaften,
Kapitalgesellscha...
● Was passiert wenn eine Certificate Authority gehackt
wird?
Probleme mit Zertifikaten
● Single point of failure
● Rolle d...
Probleme mit Zertifikaten
● Was passiert wenn eine Certificate Authority gehackt
wird?
Probleme mit Zertifikaten
> 500 Zertifikate
> 5 Monate offen
Hands on HTTPS aufsetzen
● IT-Sicherheit, Eckert, Claudia, ISBN: 978-3-486-77848-9
● https://www.youtube.com/watch?v=CNXl56HuJaE,
Abgerufen: 10.12....
Fragen?
HTTPS
Nächste SlideShare
Wird geladen in …5
×

HTTPS

223 Aufrufe

Veröffentlicht am

how HTTPS works

Veröffentlicht in: Software
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
223
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
3
Aktionen
Geteilt
0
Downloads
2
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

HTTPS

  1. 1. HTTPS secure connections for the interwebtz Web Technology - WS 2014 / 15 Stephan Lindauer, Johannes Engl
  2. 2. Inhalt ●Risiken von HTTP ●Funktionsweise von HTTPS ●Kasperletheater ●Über dem Tellerrand ●Setup von HTTPS auf Webserver
  3. 3. Das Problem
  4. 4. Das Problem
  5. 5. Das Problem
  6. 6. Das Problem Wireless Network
  7. 7. Das Problem Wireless Network
  8. 8. HTTPS ● HyperText Transfer Protocol Secure ● Protokoll um Daten im Web abhörsicher zu übertragen ● Entwickelt von Netscape, first release 1994 mit SSL 1.0 ● Syntaktisch identisch mit HTTP ● Verschlüsselung funktioniert mittels SSL/TLS
  9. 9. HTTPS im Osi-Modell
  10. 10. HTTPS Verschlüsselte Übertragung + Zertifizierung = 2 *
  11. 11. Crypto 101 “Wenn du Daten mit meinem Public Key verschlüsselst, kann nur ich mit meinem Private Key die Nachricht entschlüsseln” Private Public “plain text” “9adsf89uz asdf908h12 89389123h 8h” “plain text”
  12. 12. Crypto 101 “Wenn du Daten mit meinem Public Key verschlüsselst, kann nur ich mit meinem Private Key die Nachricht entschlüsseln” Private Public “plain text” “9adsf89uz asdf908h12 89389123h 8h” “plain text” öffentlich!!!
  13. 13. Crypto 101 “Wenn du Daten mit meinem Public Key verschlüsselst, kann nur ich mit meinem Private Key die Nachricht entschlüsseln” Private Public “plain text” “9adsf89uz asdf908h12 89389123h 8h” “plain text” öffentlich!!!
  14. 14. Crypto 101 “Ich kann dir beweisen, dass ich im Besitz eines bestimmten Geheimnisses bin”
  15. 15. Crypto 101 “Ich kann dir beweisen, dass ich im Besitz eines bestimmten Geheimnisses bin, ...” “...ohne dir das Geheimnis zu zeigen!!!”
  16. 16. Crypto 101 Private Public +Daten + = Signatur
  17. 17. Verbindungsaufbau Client Server Client Hello Zertifikat, Public Key Symetrischer Cypher verschlüsselt GET / Response
  18. 18. Verbindungsaufbau
  19. 19. Fragen ● Warum macht man nicht hin und zurück immer Asynchrone Verschlüsselung? ● Wie sicher ist die Verschlüsselung?
  20. 20. Fragen ● Warum macht man nicht hin und zurück immer Asynchrone Verschlüsselung? ● Wie sicher ist die Verschlüsselung?
  21. 21. ● Extended vs Normal ○ Identität, Adresse, Eigentümer der Domain ○ für Behörden, Personengesellschaften, Kapitalgesellschaften, e.V. und Einzelunternehmer Probleme mit Zertifikaten
  22. 22. ● Extended vs Normal ○ Identität, Adresse, Eigentümer der Domain ○ für Behörden, Personengesellschaften, Kapitalgesellschaften, e.V. und Einzelunternehmer ● Zertifikate vs Favicon Probleme mit Zertifikaten
  23. 23. ● Was passiert wenn eine Certificate Authority gehackt wird? Probleme mit Zertifikaten ● Single point of failure ● Rolle der Browserhersteller
  24. 24. Probleme mit Zertifikaten
  25. 25. ● Was passiert wenn eine Certificate Authority gehackt wird? Probleme mit Zertifikaten > 500 Zertifikate > 5 Monate offen
  26. 26. Hands on HTTPS aufsetzen
  27. 27. ● IT-Sicherheit, Eckert, Claudia, ISBN: 978-3-486-77848-9 ● https://www.youtube.com/watch?v=CNXl56HuJaE, Abgerufen: 10.12.14 ● http://landofthefreeish.com/security/md5-collision-creates- rogue-certificate-authority/ Abgerufen: 10.12.14 ● http://www.heise.de/security/meldung/Der-Diginotar-SSL- Gau-und-seine-Folgen-1423893.html Abgerufen: 10.12.14 Weiterführende Links
  28. 28. Fragen?

×