• Informationen für …
• Wir über uns
• Unsere Servicepalette
• Fragen, Beratung und Unterstützung
• Presse
• Projekte, Kooperationen, Arbeitsgruppen
• Andere im WWW

• WWW - Webhosting
  • Virtueller Webserver
  • Webhosting mit TUM Corporate Design
  • Persönliche Webseiten
  • Das Protokoll HTTPS
  • Sicherheit und Anonymität
  • WWW-Vortrag UNIX-Systemverwalter-Kurs
  • WWW-Vortrag im RBP-Seminar
  • ALI- Aktuelle Mitteilungen

ALIs

kommt noch

Das Protokoll HTTPS am WWW-Server des LRZ

Allgemeines

An den Webservern des LRZ sind Webseiten, für die eine Authentifizierung notwendig ist, in der Regel nur über 'https' erreichbar, d.h. daß man in den URLs ein "s" zum "http" hinzufügen muss./p>

Der Vorteil liegt darin, daß nun die Kommunikation zwischen dem WWW-Browser und dem WWW-Server verschlüsselt stattfindet und damit die in den Formularen eingegebenen Kennungen und Paßwörter nicht mehr abgehört werden können.

Der Nachteil liegt darin, daß möglicherweise nicht alle WWW-Browser diesen Mechanismus unterstützen.

'https' benutzt dabei den 'Secure Socket Layer (SSL)'. Prinzipiell läßt sich damit neben der eindeutigen Identifizierung des WWW-Server-Betreibers auch eine eindeutige Identifizierung des Benutzers des WWW-Browsers erreichen. Dieser Authentifizierungsmechanismus des Benutzers ist jedoch nicht aktiviert.

Welche WWW-Browser unterstützen HTTPS?

Die für die Verschlüsselung notwendigen Zertifikate verwenden eine Verschlüsselungstiefe von 2048 Bit. 2048-Bit Zertifikate werden allerdings nicht von älteren Browserversionen unterstützt, diese unterstützen nur 1024-Bit Zertifikate. Hierzu gehören alle Netscape-Versionen vor Version 4.0 und vermutlich ebenso alle Versionen des Microsoft Internet Explorers vor 4.0.

Mit den genannten älteren Versionen kann es somit zu Problemen beim Laden der 'https'-Seiten kommen. Sie sollten dann zum Beispiel auf Netscape 4 oder höher umsteigen.

Lynx unterstützt HTTPS zunächst nicht. Es gibt aber einen SSL Patch für Lynx 2.8, mit dem man Lynx um diese Funktionalität erweitern kann. Dieser Patch ist an den LRZ-Computern (sun1-5,ibm) bereits installiert.

Wie erkenne ich am WWW-Browser eine sichere Übertragung?

Bei Browsern der Mozilla-Firefox-Familie  erscheint z.B. bei unsicherer Übertragung in der Leiste

oben das Bild   und unten links das Symbol .
Bei einer sicheren Übertragung wechseln die Symbole zu bzw.

Beim Internet Explorer 4 und höheren Versionen erscheint bei einer sicheren Übertragung in der Fußleiste das Symbol .

Was passiert am WWW-Browser?

In diesem Abschnitt wird beschrieben, wie man das Zertifikat eines WWW-Servers akzeptiert, ohne es zu überprüfen. Sicherer ist es, sich ein Zertifikat von der nächsthöheren Zertifizierungsstelle zu besorgen. Wie das für den Fall des WWW-Servers des LRZ aussieht, ist im nächsten Abschnitt beschrieben.

Die gezeigten Screenshots können je nach Browerversion etwas abweichen, aber inhaltlich sollten sie gleich sein.

Netscape

Falls Sie erstmals einen https-URL am LRZ aufrufen erscheint (Beispiel: Netscape 4.51 deutsch) folgendes Fenster:

Klicken Sie hier auf 'Weiter >'. Daraufhin erscheint folgendes Fenster:

Wenn Sie hier auf 'Mehr Info...' klicken sehen Sie folgendes Fenster:

Lesen Sie die Informationen über den https-Server Betreiber, schließen Sie danach dieses Fenster durch Klicken auf 'OK' und fahren Sie durch Klicken auf 'Weiter >' fort. Es erscheint folgendes Fenster:

Wählen Sie hier 'Das vorliegende Zertifikat unbefristet annehmen (bis es abläuft)' ('Accept this certificate forever (until it expires)') und klicken Sie danach auf 'Weiter >', woraufhin dieses Fenster erscheint:

Sie können hier den Punkt 'Warnmeldung vor dem Senden...' ('Warn me before I send information to this site') deaktivieren. Klicken Sie danach wieder auf 'Weiter >'. Sie sehen dann dieses Fenster:

Klicken Sie hier nochmals auf 'Weiter' ('Finish'). Nun werden Sie mit dem gewählten 'https'-URL des LRZ verbunden.

Sollten Sie alles wie beschrieben gemacht haben, dann müssen Sie diese Prozedur zumindest während der Zertifikatsgültigkeitsdauer mit dem benutzten WWW-Browser nicht wiederholen. Die Zertifikatsgültigkeitsdauer beträgt zur Zeit ein halbes Jahr (bis Ende Februar 2002).

Sie können die so gemachten Aktionen folgendermaßen überprüfen:

Wenn Sie jetzt auf den Punkt 'Sicherheit' ('Security') ( oder ) in der oberen Leiste Ihres Netscape-Browsers klicken, sehen Sie folgendes Fenster, wenn Sie dort den Punkt 'Web-Sites' auswählen:

Markieren Sie den Eintrag 'www.lrz-muenchen.de' und klicken Sie auf 'Bearbeiten'. Sie sehen folgendes Fenster. Mit 'OK' können Sie die Fenster wieder schließen.

Microsoft Internet Explorer

Beim Internet Explorer 4.0 erscheint folgendes Fenster, das Sie durch einen Klick auf 'Ja' bestätigen können:

Dabei kann es sein, daß Sie dieses Fenster jedesmal bestätigen müssen, da der Internet Explorer 4.0 das Zertifikat des LRZ als 'abgelaufen' einstuft und nicht behält.

Das Fenster, das Sie erhalten, wenn Sie auf 'Zertifikat anzeigen' klicken, sieht folgendermaßen aus:

Kann ich das LRZ als Zertifizierungsstelle vorab im Browser eintragen?

Ja - durchlaufen Sie dazu die folgenden Schritte: dann können Sie alle von dieser LRZ-Zertifizierungsstelle (auch 'CA' genannt) signierten WWW-Server benutzen, ohne von Ihrem Browser mit Rückfragen belästigt zu werden.

Eine strukturierte CA-Hierarchie am LRZ, die den unterschiedlichen Sicherheitsanforderungen für verschiedene Zwecke Rechnung trägt, ist im Aufbau.

Sie können das Zertifikat von der Server-Zertifizierungsinstanz des LRZ importieren. Nähere Informationen finden Sie dort.

Benutzung unter Netscape

Wenn Sie ein CA-Zertifikat laden wollen (und auf den entsprechenden Link klicken) erscheint (in etwa, je nach Version) folgendes Fenster:

Klicken Sie auf 'Weiter >':

Klicken Sie noch einmal auf 'Weiter >':

Hier können Sie sich das Zertifikat durch einen Klick auf 'Mehr Info...' anzeigen lassen:

Schließen Sie das Fenster durch Klick auf 'OK'.

Klicken Sie dann auf 'Weiter >':

Aktivieren Sie hier mindestens den Punkt 'Diesen Zertifikatsaussteller zum Beglaubigen von Netsites auf Netzen akzeptieren' ('Accept this Certificat Authority for Certifying network sites') und klicken Sie dann auf 'Weiter >':

Sie können hier den Punkt 'Warnmeldung vor dem Senden ...' ('Warn me before sending information to sites certified by this Certificate Authority') deaktivieren. Klicken Sie danach wieder auf 'Weiter >'. Sie sehen dann dieses Fenster:

Tragen Sie als 'Spitznamen' ('Nickname') den Namen der CA ein, z.B. 'LRZ Master-CA 2001' und klicken Sie auf 'Weiter' ('Finish').

Sie können die so gemachten Aktionen folgendermaßen überprüfen:

Wenn Sie jetzt auf den Punkt 'Sicherheit' ('Security') ( oder ) in der oberen Leiste Ihres Netscape-Browsers klicken, sehen Sie folgendes Fenster, wenn Sie dort den Punkt 'Unterzeichner' ('Signers') auswählen:

Markieren Sie den Eintrag 'LRZ Master-CA 2001' und klicken Sie auf 'Bearbeiten'. Sie sehen folgendes Fenster. Mit 'OK' können Sie die Fenster wieder schließen.

Benutzung mit dem Microsoft Internet Explorer

Wenn Sie ein CA-Zertifikat laden wollen (und auf den entsprechenden Link klicken) erscheint folgendes Fenster:

Aktivieren Sie 'Die Datei von ihrem aktuellen Ort öffnen' und klicken Sie auf 'OK'.

Die folgenden Fenster können abweichen, je nachdem welche Version des Internet-Explorers und welches Betriebssystem (Windows 95/98/NT4) mit welchem Service-Pack sie benutzen! Konfigurieren Sie dann jeweils sinngemäß!

Markieren Sie mindestens die Punkte, die im Bild ebenfalls markiert sind.

Hier können Sie sich das Zertifikat durch einen Klick auf 'Zertifikat anzeigen...' anzeigen lassen.

Schließen Sie das Fenster durch Klick auf 'Schließen'.

Klicken Sie dann auf 'OK':

Klicken Sie hier auf 'Ja':

Leider erscheint nun dieses Fenster, das auch in Zukunft immer wieder erscheinen kann, obwohl das Zertifikat NICHT abgelaufen ist. Schließen Sie das Fenster durch einen Klick auf 'Ja'.

Wie kann ich eine 128-Bit Verschlüsselung benutzen?

Die Verschlüsselungstiefe ist für 'nicht-USA/Kanada'-Browser auf 40-Bit festgelegt. Es gibt aber eine Möglichkeit, Netscape 3 und 4 mit einer 128-Bit-Verschlüsselungstiefe zu benutzen.

Das Tool dazu heißt 'Fortify' und kann für verschiedene Betriebssysteme (Unix, OS/2, 32-Bit Windows) über den DFN-CERT HIER runtergeladen werden.

Beachten Sie, daß das Benutzen von Fortify möglicherweise gegen die Netscape-Lizenzbestimmungen verstoßen kann! Daher werden wir hier nicht näher darauf eingehen.

Literatur und Links zu https und SSL, SSLeay, OpenSSL

Allgemeine Informationen und Hilfe

• Informationen des DFN-Vereins
• SSL (von Fernuni Hagen)

WWW-Browser

• Open Source PKI Projects
• Netscape Certificate Specifications
• Netscape Security Developer Central
• Microsoft Security & Cryptography Workshop

OpenSSL / SSLeay

• OpenSSL Homepage
• Set up your own Certification Authority using free software(Gutes Kochrezept auch für MSIE 3 und 4)
• Winnetou und Old SSLeay: Einsatz und Konfiguration von Apache-SSL(iX 7/1998, Seite 128 ff)
• Herr der Zertifikate: Zertifikatsmanagement und Online-Beglaubigungsstellen mit SSLeay (iX 4/1997, Seite 176 ff)
• Schlüsselfertig: Secure Socket Layer: Chiffrieren und Zertifizieren mit SSLeay (iX 6/1996, Seite 128 ff)

WWW-Server

• mod_ssl-Modul für Apache
• Apache-SSL WWW-Server