The countdown is on to Keyfactor Tech Days     | secure your spot today!

What is an SSL Certificate and How does it Work?

SSL/TLS Bescheinigungen

Before diving into the many benefits and uses of SSL Certificates, it may help to understand the underpinning technology. This article provides a brief history lesson on how Secure Socket Layer (SSL) has evolved into Transport Layer Security (TLS) and a simple explanation of how they provide security for both Public internet and enterprise intranet connections.

In particular, the aim is to give you a complete overview of the Secure Socket Layer (SSL) protocol and certificates to help you make the best decisions regarding certificate management for your enterprise.

Was ist SSL?

SSL is the original name of the cryptographic protocol for authenticating and encrypting communications over a network. Officially, SSL was replaced by an updated protocol called TLS some time ago. 

SSL zu TLS Zeitleiste

Im Folgenden finden Sie einen Überblick über die Entwicklung von SSL im Laufe der Zeit:

  1. SSL ist ein Sicherheitsprotokoll, das in den 90er Jahren von Netscape zur Verschlüsselung und Sicherung der Kommunikation über das Internet entwickelt wurde. SSL v1.0 wurde aufgrund von Sicherheitsproblemen nie veröffentlicht.
  2. 1995 veröffentlichte Netscape SSL v2.0, das jedoch noch viele Mängel aufwies.
  3. SSL v3.0 wurde 1996 veröffentlicht und beseitigte die Probleme von SSL v2.0. Diese Version bot unglaubliche Verbesserungen und veränderte die Art und Weise, wie das Internet funktioniert, für immer. Seit 2015 sind SSL 3.0 und frühere Versionen jedoch veraltet.
  4. TLS wurde von der Internet Engineering Task Force (IETF) als Verbesserung von SSL entwickelt; TLS v1.0 wurde 1999 veröffentlicht und basierte auf SSL v3.0, mit geringfügigen Sicherheitsverbesserungen, die immer noch so signifikant waren, dass SSL v3.0 und TLS v1.0 nicht interoperabel waren.
  5. TLS v1.1 kam sieben Jahre später im Jahr 2006 heraus und wurde kurz darauf, 2008, durch TLS v1.2 ersetzt. Das schadete der Akzeptanz von TLS v1.1, da viele Websites von TLS v1.0 direkt auf TLS v1.2 umstiegen. 11 Jahre später sind wir nun bei TLS v1.3.
  6. TLS v1.3 wurde 2018 und nach fast 30 IETF-Entwürfen fertiggestellt. TLS v1.3 enthält erhebliche Verbesserungen gegenüber seinen Vorgängern. Microsoft, Apple, Google, Mozilla, Cloudflare und Cisco haben TLS v1.0 und TLS v1.1 ab März 2020 veraltet. TLS v1.2 und TLS v1.3 sind nun die einzigen noch verfügbaren SSL -Protokolle.

 

Also, in Wirklichkeit, TLS einfach eine neuere Version von SSL. Allerdings sagen die meisten Leute immer noch SSL statt TLS. SSL und TLS dienen demselben Zweck, nämlich dem Schutz sensibler Informationen während der Übertragung, aber unter der Haube hat sich die Kryptographie vom ursprünglichen SSL bis zum neuesten TLS v1.3 stark verändert.

Digital certificates are the core of the SSL protocol; they initiate the secure connections between servers (e.g., websites, intranets, or VPN) and clients (e.g., web browsers, applications, or email clients).

SSL Zertifikate bieten einen angemessenen Schutz gegen Phishing und das Abhören von Übertragungen sowie die automatische Authentifizierung eines Servers, z. B. einer Website-Domäne. Wenn eine Website nach sensiblen Daten der Nutzer fragt, muss sie über ein SSL -Zertifikat verfügen, um diese während der Übertragung zu verschlüsseln. Gibt es kein SSL -Zertifikat, sollte man dieser Verbindung keine privaten Daten anvertrauen.

Wie funktioniert es?

Der Hauptzweck von SSL besteht darin, eine sichere Verbindung auf der Transportebene zwischen zwei Endpunkten, dem Server und dem Client, herzustellen. Diese Verbindung besteht in der Regel zwischen einem Webserver und dem Browser des Kunden oder einem Mailserver und der E-Mail-Anwendung des Kunden, wie z. B. Outlook.

SSL besteht aus zwei getrennten Protokollen:

  1. The Handshake protocol authenticates the server (and optionally the client), negotiates crypto suites, and generates the shared key. 
  2. Das Aufzeichnungsprotokoll isoliert jede Verbindung und verwendet den gemeinsamen Schlüssel, um die Kommunikation für den Rest der Sitzung zu sichern.

Das Handshake-Protokoll

Der SSL Handshake ist eine asymmetrische Kryptographie Prozess zum Aufbau eines sicheren Kanals für die Kommunikation zwischen Server und Client - HTTPS Verbindungen beginnen immer mit dem SSL Handshake.

Ein erfolgreicher Handshake findet hinter dem Browser oder der Anwendung des Kunden statt, und zwar sofort und automatisch, ohne dass die Benutzererfahrung des Kunden gestört wird. Ein fehlgeschlagener Handshake löst jedoch den Abbruch der Verbindung aus, dem in der Regel eine Warnmeldung im Browser des Kunden vorausgeht.

Unter der Voraussetzung, dass die SSL gültig und korrekt ist, bietet der Handshake die folgenden Sicherheitsvorteile:

  • Authentifizierung: Der Server wird immer authentifiziert, solange die Verbindung gültig ist.
  • Vertraulichkeit: Die über SSL gesendeten Daten sind verschlüsselt und nur für den Server und den Client sichtbar.
  • Integrität: Digitale Zertifikatssignaturen gewährleisten, dass die Daten während der Übertragung nicht verändert wurden.

 

Zusammenfassend lässt sich sagen, dass SSL Zertifikate grundsätzlich mit einer Mischung aus asymmetrischer und symmetrischer Kryptographie für die Kommunikation über das Internet arbeiten. Es gibt auch andere Infrastrukturen, die für die SSL Kommunikation in Unternehmen erforderlich sind, die so genannten Public-Key-Infrastrukturen.

Wie funktionieren die SSL Zertifikate?

Wenn Sie das Zertifikat SSL erhalten, installieren Sie es auf Ihrem Server. Sie können ein Zwischenzertifikat installieren, das die Glaubwürdigkeit Ihres SSL -Zertifikats durch Verkettung mit dem Stammzertifikat Ihrer Zertifizierungsstelle herstellt.

Wurzelzertifikate werden selbst signiert und bilden die Grundlage einer X.509-basierten Public-Key-Infrastruktur (PKI). Die PKI, die HTTPS für sicheres Surfen im Internet und elektronische Unterschriftsverfahren unterstützt, hängt von Stammzertifikaten ab. Bei anderen Anwendungen von X.509-Zertifikaten bescheinigt eine Hierarchie von Zertifikaten die Gültigkeit der Ausstellung eines Zertifikats. Diese Hierarchie wird als "Vertrauenskette" für Zertifikate bezeichnet.

Kette des Vertrauens

Die Vertrauenskette bezieht sich auf Ihr SSL Zertifikat und seine Verbindung zu einer vertrauenswürdigen Zertifizierungsstelle. Damit ein SSL -Zertifikat vertrauenswürdig ist, muss es auf eine vertrauenswürdige Stammzertifizierungsstelle zurückgeführt werden können. Eine Vertrauenskette gewährleistet Datenschutz, Vertrauen und Sicherheit für alle beteiligten Parteien.

Das Herzstück jeder PKI ist die Stammzertifizierungsstelle; sie dient als vertrauenswürdige Quelle der Integrität für das gesamte System. Die Stammzertifizierungsstelle signiert ein SSL -Zertifikat und setzt damit die Vertrauenskette in Gang. Wenn die Stammzertifizierungsstelle öffentlich vertrauenswürdig ist, dann wird jedes gültige CA-Zertifikat, das mit ihr verkettet ist, von allen wichtigen Internet-Browsern und Betriebssystemen als vertrauenswürdig angesehen.

Wie wird eine Vertrauenskette verifiziert?

Der Client oder Browser kennt von Haus aus die öffentlichen Schlüssel einer Handvoll vertrauenswürdiger Zertifizierungsstellen und verwendet diese Schlüssel, um das Zertifikat des Servers SSL zu überprüfen. Der Client wiederholt den Verifizierungsprozess rekursiv mit jedem Zertifikat in der Vertrauenskette, bis er zum Anfang, der Stammzertifizierungsstelle, zurückverfolgt werden kann.

Was bewirkt ein SSL Zertifikat?

Bei ungesicherten HTTP-Verbindungen können Hacker Nachrichten zwischen Client und Server leicht abfangen und im Klartext lesen. Bei verschlüsselten Verbindungen wird die Kommunikation verschlüsselt, bis der Client sie mit dem anderen Sitzungsschlüssel entschlüsseln kann.

Wenn sie auf einem Webserver installiert sind, verwenden SSL -Zertifikate ein öffentliches/privates Schlüsselpaar, um das HTTPS-Protokoll zu initiieren und sichere Verbindungen für Benutzer und Clients zu ermöglichen.

Für das Internet: Was bringen SSL Zertifikate für Websites?

Wenn ein signiertes SSL -Zertifikat eine Website schützt, beweist es, dass die Organisation ihre Identität bei einer vertrauenswürdigen Drittpartei überprüft und authentifiziert hat; da der Browser der Zertifizierungsstelle vertraut, vertraut er nun auch der Identität dieser Organisation.

Der einfachste Weg, um zu überprüfen, ob auf der Website SSL ein Zertifikat installiert ist, besteht darin, in Ihrem Browser nachzusehen, ob die URL der Website mit "HTTPS:" beginnt, denn dies zeigt, ob auf dem Server ein SSL Zertifikat installiert ist. Ist dies der Fall, klicken Sie auf das Vorhängeschloss-Symbol in der Adressleiste, um die Zertifikatsinformationen anzuzeigen.

Historically, web browsers use HyperText Transfer Protocol (HTTP) to connect to web servers that listen on TCP port 80 by default. HTTP is a plain-text protocol, which means it is relatively easy for a hacker to intercept and read the transit data. Due to the proliferation of phishing, Google’s Chrome browser, among others, now redirects to HTTPS by default.

SSL verwendet die Portnummer 443, verschlüsselt die zwischen dem Browser und dem Server ausgetauschten Daten und authentifiziert den Benutzer. Wenn die Kommunikation zwischen dem Webbrowser und dem Server sicher sein muss, schaltet der Browser daher automatisch auf SSL um - vorausgesetzt, der Server hat ein SSL Zertifikat installiert.

Der Verbindungsaufbau zu einem Server mit einem von einer vertrauenswürdigen Zertifizierungsstelle signierten Zertifikat erfolgt ohne zusätzliche Schwierigkeiten für den Nutzer. Wenn ein Internetnutzer eine SSL-gesicherte Website besucht, ist er eher bereit, seine Kontaktinformationen zu übermitteln oder mit seiner Kreditkarte einzukaufen. Darüber hinaus erhöht ein SSL -Zertifikat auf Ihrer Website Ihre Position im Ranking, so dass Benutzer und Kunden Ihre Website leichter finden können.

SSL Zertifikat bescheinigt die Zuverlässigkeit einer Website, aber mit fortschrittlicheren Zertifikaten kann das gesamte Unternehmen SSL zertifiziert werden.

Für Intranets: Was leisten SSL Zertifikate für Anwendungen in einer Unternehmensumgebung?

Obwohl SSLursprünglich für das World Wide Web gedacht war, verwenden Unternehmen SSL Zertifikate, um eine Vielzahl von internen und externen Verbindungen zu sichern. Zu den häufigsten Anwendungsfällen für Unternehmenszertifikate SSL gehören:

  • Network Access Controls (NAC)
  • Virtuelle private Netzwerke (VPN)
  • Single Sign-On (SSO)
  • Internet der Dinge (IoT)

 

If properly configured, all these applications run on top of SSL protocol. We’ll take a closer look at these examples in the following section:

Netzzugang

Mitarbeiter, die drahtlose Geräte mit dem Unternehmensnetzwerk verbinden, benötigen einen einfachen Zugang, während das Netzwerk gleichzeitig den unbefugten Zugriff auf Unternehmensressourcen verhindern muss. Mitarbeiter können SSL Zertifikate verwenden, um auf Dateien von ihren Geräten, Unternehmensservern oder sogar Cloud-Servern für zugelassene Personen zuzugreifen und diese zu verschlüsseln.

Vermeiden Sie die Notwendigkeit, sich lange, schwer zu merkende Passwörter zu merken/zurückzusetzen, die sich alle 90 Tage ändern, indem Sie sie durch eine digitale Identität ersetzen. Platzieren Sie eine digitale Identität auf dem Windows- oder Mac-Desktop, dem Server oder den WiFi-Zugangspunkten, damit nur autorisierte Geräte eine Verbindung zu Ihrem Unternehmensnetzwerk herstellen können.

Einzelanmeldung

Die Mitarbeiter von Unternehmen haben heute Zugang zu einer Vielzahl von Identitätsdiensten oder Verbundprodukten. Unternehmen verwenden häufig ein Web-Single-Sign-on-Produkt für den Zugriff auf alle Ressourcen im Unternehmensportal oder auf Cloud-Dienste.

Internet der Dinge

A digital identity can be installed in your IoT device and the user’s device or application to ensure that only trusted IoT devices could connect to your network. The IoT device takes instructions from or sends data to authorized applications, and users possess a digital identity.

SSL VPN

A Secure Sockets Layer Virtual Private Network (SSL VPN) is a virtual private network (VPN) created using the Secure Sockets Layer (SSL). IT departments can scale both the solution and its required infrastructure services. SSL VPN enables granular control over managed application access to enterprise web applications. Perhaps the most significant benefits of SSL VPN come from the gained efficiency and productivity of freeing up IT resources by enabling all digital certificates to be accessed remotely.

Signieren von Code, Dokumenten und E-Mails

Many people don’t realize that code signing, document signing, and email signing certificates are not SSL certificates. Even though they are all facilitated by PKI x.509 certificates, the key-usage function makes all the difference. Read “Difference Between Code Signing and SSL certificate” or “Difference Between Digital certificate and Digital Signature” to learn more on the subject.