Sicheres HTTP. 8. Juni Proseminar Electronic Commerce und digitale Unterschriften

Transkript

1 Sicheres HTTP 8. Juni 2004 Proseminar Electronic Commerce und digitale Unterschriften

2 Sicheres HTTP HTTP über SSL = sicheres HTTP

3 Überblick HTTP: Protokoll zur Datenübertragung im Internet Klartextprotokoll Übermittlung vertraulicher Daten sollte ohne mögliche Einsichtnahme Dritter geschehen. z. B.: Online-Banking, Online-Einkauf, Passwortübertragung, , Firmeninterna Lösung: HTTPS

4 Gliederung Einführung in HTTP Wie funktioniert SSL? Anforderungen an HTTPS, Funktionsweise Anwendung in der Praxis

5 HTTP: Grundlagen Hypertext Transfer Protocol Client-Server-System TCP-Verbindung (standardmäßig Port 80) HTTP TCP IP Netzwerk

6 HTTP: Anfrage/Antwort GET / HTTP/1.1 Host: HTTP/ OK Date: Sun, 16 May :10:31 GMT Server: Apache/ (Unix) (Red-Hat/Linux) mod_ssl X-Powered-By: PHP/4.1.2 Transfer-Encoding: chunked Content-Type: text/html <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitio <html> <head> <title>tu Chemnitz</title>

7 HTTP-Statuscodes Informational (1xx) 100 (continue) 101 (switching protocols) Successful (2xx) 200 (ok) Redirection (3xx) 301 (moved permanently) Client Error (4xx) 400 (bad request) 401 (authentication required) 403 (forbidden) 404 (not found) Server Error (5xx)

8 Anforderungen an HTTPS Server-Authentifizierung Client-Authentifizierung Integrität Vertraulichkeit Effizienz Verbreitung Administrative Skalierbarkeit Anpassungsfähigkeit Soziale Realisierbarkeit

9 SSL/TLS SSL: Secure Socket Layer Public-Key-Tausch: über Zertifikate Server-/Client-Zertifikate verschiedene Verschlüsselungsmethoden benutzbar Client und Server einigen sich sinnvollerweise auf die stärkste, die beide verstehen. ausgehandelter Secret Key bis zu 24 h gültig (erneute Kontaktaufnahme ohne Handshake)

10 Protokollschichten HTTP TCP IP Netzwerk HTTP SSL/TLS TCP IP Netzwerk HTTP kommuniziert nicht mehr direkt mit TCP SSL als Übersetzer

11 HTTPS HTTP über SSL/TLS URL: Protokollidentifikator https statt http normale HTTP-Nachrichten, durch SSL verschlüsselt Standard-Port: 443

12 HTTPS: Anfrage/Antwort GET / HTTP/1.1 Host: HTTP/ OK Date: Sun, 16 May :10:31 GMT Server: Apache/ (Unix) (Red-Hat/Linux) mod_ssl X-Powered-By: PHP/4.1.2 Transfer-Encoding: chunked Content-Type: text/html <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitio <html> <head> <title>tu Chemnitz</title>

13 Schwachstellen Schwachstelle: Abhängigkeit von signierten Zertifikaten ( man-in-the-middle -Angriff) Lösung: Zertifikate verschiedener Zertifizierungsstellen (CAs) bereits im Browser vorinstalliert kaum ein Anwender setzt sich mit Verschlüsselungsprotokollen auseinander sinnvolle Standard-Einstellung im Browser

14 HTTPS über Proxy-Server HTTPS (binärer Datenstrom) unverständlich für normalen Proxy Kenntlichmachung des HTTPS-Datenverkehrs spezielles Kommando: CONNECT CONNECT home.netscape.com:443 HTTP/1.1 User-agent: Mozilla/1.6 <SSL-verschlüsselte Rohdaten > HTTP/ Connection established Proxy-agent: Netscape-Proxy/1.1

15 S-HTTP kaum verbreitete Alternative zu HTTP über SSL (HTTPS) prinzipiell ähnliche Verschlüsselungsmethode Erweiterung von HTTP (benutzt HTTP-Nachrichten) Benutzung über Status-Code HTTP S-HTTP 101 (switching protocols) TCP IP Netzwerk

16 Zusammenfassung In bestimmten Situationen braucht man ein Protokoll, mit dem man vertrauliche Daten über unsichere Netze übermitteln kann. Lösung: HTTPS SSL legt sich als Schicht zwischen HTTP und TCP. Die Verschlüsselung erfolgt transparent. Für die Sicherheit sind die Wahl des Verschlüsselungsverfahren und vertrauenswürdig signierte Zertifikate wichtig.

17 Quellen Stephen A. Thomas: HTTP Essentials/Protocols for Secure, Scaleable Web Sites. John Wiley & Sons, Inc.; New York; 2001 David Gourley, Brian Totty: HTTP/The Definitive Guide. O'Reilly & Assiciates, Inc.; Sebastopol; 2002 Balachander Krishnamurthy, Jennifer Rexford: Web Protocols and Practice. Addison-Wesley; Boston (Mass.); 2001 Network Working Group: E. Rescorla (RTFM, Inc.): RFC 2818: HTTP over TLS. In: ( ) Wikipedia: Hypertext Transfer Protocol Secure. In: ( )