Portable Web-Grafiken

Was ist SSL/TLS und wie Sie es auf Ihrer Website implementieren

SSL, auch bekannt als TLS (oder umgekehrt), wird verwendet, um unverschlüsselte Daten über eine sichere, verschlüsselte Verbindung zu tunneln. Der unbestrittene Vorteil dieser Technologie besteht darin, dass Sie keine Änderungen an dem bereits verwendeten Dienst vornehmen müssen, sondern ihn lediglich mit einem SSL-Overlay überlagern, das die über das Netzwerk transportierten Daten für die Anwendung transparent verschlüsselt.

Warum Sie verschlüsseln sollten

Datenschutz

Die Grundlage ist der Schutz vor unbefugtem Abhören von Daten , die über das Netzwerk gesendet werden. Das grundsätzliche Problem besteht bei Heim- und Funknetzwerken. Wenn Sie zu Hause einen Router haben und dieser nicht WPA oder zumindest den WEB-Dienst aktiviert hat (Sie können erkennen, ob Sie ein Passwort benötigen, um sich mit einem Funknetzwerk zu verbinden), dann kann jeder, der sich in Reichweite Ihres Netzwerks befindet, alle Daten abhören, die Sie senden, einschließlich Passwörter und Logins. Natürlich nur, wenn unsere Daten nicht verschlüsselt sind.

Autorisierung

Jeder, der sich über das Internet mit der Bank verbindet, weiß, dass er vor der Eingabe von Login und Passwort prüfen muss, ob in der Adressleiste ein Vorhängeschloss zu sehen ist. Warum und wie funktioniert es? Nun, das Prinzip ist einfach, jedes Betriebssystem oder jeder Webbrowser hat eine Liste mit vertrauenswürdigen Zertifikaten. Staatliche und nichtstaatliche Organisationen, die die Authentizität einer Person überprüfen und dann ihr Zertifikat digital signieren und damit bestätigen, dass es sich tatsächlich um eine Person oder Institution handelt. Ein solches signiertes Zertifikat wird vom Webserver vorgelegt und enthält alle Informationen über die Organisation. Neben dem Namen, dem Land des Wohnsitzes und dem E-Mail-Kontakt gibt es noch eine weitere sehr wichtige Information. Das heißt, auf welchen Domänen das Zertifikat gültig ist und wir ihm vertrauen sollten. Die Verwendung eines Zertifikats, das von einer vertrauenswürdigen Entität auf einer anderen Domäne digital signiert wurde, als es ausgestellt ist , zeigt einen Fehler an und warnt den Benutzer, dass etwas nicht stimmt.
Es ist möglich, ein eigenes Zertifikat zu erstellen, um andere zu signieren, aber wenn es nicht vom Browser des Clients als vertrauenswürdig eingestuft wird, tritt ein Fehler auf. Viele Unternehmen verwenden solche Zertifikate für interne Anwendungen oder Proxys, indem sie ein privates internes Zertifikat im Browser der Mitarbeiter installieren.

Positionierung

Google hat bestätigt, dass es die Verwendung von SSL durch ein besseres Ranking in den Suchergebnissen belohnen wird.

Arten von Zertifikaten

Die Kosten für das Zertifikat selbst hängen von der Anzahl der Sub-Domains ab, die das Zertifikat unterstützen soll. Es werden also hauptsächlich drei Typen unterschieden.

  • Nur (Sub-)Domains – also zum Beispiel przyklad.pl, oder poczta.przyklad.pl. Eine Domäne oder Subdomäne: Dies hilft, einen bestimmten Dienst vor dem Abhören zu schützen. Dies ist gut zu verwenden, wenn wir auf einer Domäne viele Dienste auf verschiedenen Servern haben, dann wird ein Leck eines Schlüssels uns davor schützen, alle von ihnen rückgängig zu machen. dies sind die günstigsten Zertifikate
  • Mehrere Domains – wenn wir ein paar Dienste: przykla.pl, www.przyklad.pl, poczta.przyklad.pl auf einem Server haben, wird es für uns einfacher, ein Zertifikat einzugeben. Natürlich hindert uns nichts daran, ein Zertifikat auf mehreren Servern zu verwenden.
  • Wildcard – Zertifikate mit einem Sternchen, die teuersten, aber auch die universellsten Zertifikate, sie haben eine Domain und Sub-Domain, die durch ein Sternchen ersetzt werden: przyklad.pl *.przyklad.pl, was bedeutet das? Dass dieses Zertifikat gültig ist für alle Subdomains in der Domain przyklad.pl, d.h. www.przyklad.pl oder mail.przyklad.pl und przyklad.pl selbst, ist für blog.mail.przyklad.plnicht gültig, da ein solches Zertifikat wie *.*.przyklad.pl aussehen müsste.

Wo Sie das Zertifikat erhalten

Da dies kein Werbeartikel ist, empfehle ich die Website von StartCom , wo Sie ein Zertifikat für Ihre Domain und eines für Ihre Subdomain absolut kostenlos erhalten können. Gebühren werden nur für Zertifikate für mehrere Subdomains oder Wildcards erhoben. Und für eine eventuelle Stornierung des Zertifikats.

Einführung des Zertifikats

Sobald wir ein signiertes Zertifikat und einen dazugehörigen privaten Schlüssel haben (den wir niemandem zeigen werden, da der Name privat klingt). Dann müssen wir es installieren und hier fangen die Dinge an, kompliziert zu werden. Wenn wir das Zertifikat auf einer Website installieren, die in einem externen Unternehmen gehostet wird, müssen wir zuerst herausfinden, ob unser Hosting-Paket Verschlüsselung zulässt, denn es kann vorkommen, dass unser Webhoster unsere Seite nicht verschlüsselt haben möchte, weil Dies erhöht die Belastung des Servers. Die Installation selbst erfolgt später je nach Dienstanbieter in der Administrationsoberfläche. Sie sollten auch daran denken, dass eine dedizierte IP-Adresse für die Verschlüsselung empfohlen wird – andernfalls benötigen Sie SNI (lesen Sie mehr).
Beim Hosting in ROAN erfolgt die Installation jedoch über das Administrationspanel der Domain, wir sind auch bereit, die Installation für den Kunden durchzuführen oder ihn bei Problemen zu unterstützen. Da wir uns um unsere Kunden bzw. Klienten kümmern, empfehlen wir die Installation eines Zertifikats auf Ihrer Website.
Wenn Sie einen eigenen Server haben, kommt es bei der Installation auf die richtige Konfiguration eines Webservers wie apache oder nginx an. Befolgen Sie einfach die Richtlinien, die für den jeweiligen Server gelten, z. B. apache und nginx.

Was Sie nach der Installation wissen sollten

SSL oder TLS

Nun, wir haben die derzeit verwendeten Technologien, SSLv1, SSLv2, SSLv3, TLSv1.0, TLSv1.1, TLSv1.2. Sie sind in der Reihenfolge ihrer Entstehung aufgelistet – SSLv1 ist das älteste und TLSv1.2 das neueste. SSL wurde von Netscape geschaffen und entwickelt, als es als Standard angenommen wurde, übernahm die Internet Engineering Task Force und begann, es weiterzuentwickeln, so entstand TLS, auch wenn die TLS-Technologie normalerweise verwendet wird, wird sie immer noch allgemein als SSL bezeichnet.

SSL ist gefährlich

Da Sie nun den Unterschied kennen, sollten Sie wissen, dass SSLv1, SSLv2 und SSLv3 unabhängig vom verwendeten Verschlüsselungsalgorithmus als unsicher und leicht zu knacken gelten. Aus diesem Grund haben viele Dienste die SSL-Unterstützung in jeder Version deaktiviert und setzen ab Version 1 meist auf TLS, das je nach den verwendeten Verschlüsselungsalgorithmen auch als unsicher gelten kann. Deshalb ist es eine gute Idee, Ihre SSL-Einstellungen zu überprüfen und sich nicht nur auf neuere Technologien zu verlassen, um Ihre Kunden zu schützen.

Test der SSL-Einstellungen

Ich persönlich empfehle den Qualys SSL Labs Service, um Ihren http-Server auf Verschlüsselung zu testen. Es zeigt uns alle Verschlüsselungsprobleme auf unserem Server an, zeigt uns, wie wir sie beheben können und gibt uns eine Endnote für die Einstellungen, die uns hilft, unsere Konfiguration zu überprüfen, ob sie richtig eingestellt ist. Für den Test müssen Sie lediglich die Adresse der Website eingeben.

Was ist SNI in SSL

SNI ist ein Add-on zu Diensten, die SSL verwenden. Es hilft Ihnen, mehrere verschlüsselte Sites auf eine IP-Adresse zu legen. Eine Standardverbindung wird durch Rückgabe des Zertifikats hergestellt, das dem Server zugeordnet ist, der sie bedient, d. h. ein Zertifikat eine IP-Adresse.
Erst mit der Einführung von SNI änderte sich dies, denn um eine verschlüsselte Verbindung anzufordern, sendet der Client auch die Information , mit welcher Domain er sich verbinden möchte. Dadurch kann der Server das richtige Zertifikat für die Verbindung auswählen und präsentieren, andernfalls müsste der Server „raten“, da er keine Informationen darüber hat, mit welchem Server sich der Client verbinden wollte. Dies ist eine relativ alte Technologie und wird praktisch nur vom Standardbrowser auf Android bis zur Version 3.* und dem Internet Explorer auf Windows XP oder Windows Server 2003 nicht unterstützt, die Verwendung eines neueren Browsers wie Firefox ab Version 2.0 löst dieses Problem auf beiden Plattformen.
Daher ist es ein relativ sicherer Weg, Ihre Seite im Internet verfügbar zu machen, und nur ein extremer Teil der Besucher wird nicht in der Lage sein, auf Ihre Seite zuzugreifen. Außerdem basieren alle Websites, die Cloudflare oder viele CDN-artige Dienste nutzen, ebenfalls auf dieser Technologie.

Zusammenfassung

Die Implementierung von SSL ist relativ einfach und die Zahl der Unternehmen wie StartCom wird nur wachsen. Ein Beispiel ist die Let’s Encrypt-Initiative, die jedem dabei hilft, Verschlüsselung auf seiner Website kostenlos zu implementieren.
Nachdem Sie SSL implementiert haben, empfehlen wir Ihnen, sich mit der Erweiterung von SSL , HSTS, vertraut zu machen. In Kürze werden wir über HPKP schreiben, bei dem es sich um das Anhängen von Zertifikaten an einen Dienst über HTTP-Header handelt, ähnlich wie bei HSTS.

Bitte beachten Sie, dass Sie durch die Nutzung der Website, ohne Ihre Browsereinstellungen zu ändern, der Datenschutzerklärung und der Speicherung von Cookies zustimmen, die ein effizientes Funktionieren unserer Website ermöglichen.