Beschreibung des Server-Authentifizierungsprozesses beim SSL-Handshake

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 257587 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
257587 Description of the Server Authentication Process During the SSL Handshake
Microsoft empfiehlt allen Benutzern nachdrücklich, auf Microsoft Internet Information Services (IIS) 6.0 unter Microsoft Windows Server 2003 zu aktualisieren. IIS 6.0 erhöht die Sicherheit der Web-Infrastruktur beträchtlich. Weitere Informationen zu sicherheitsrelevanten Themen im Zusammenhang mit IIS finden Sie auf der folgenden Microsoft-Website:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Zusammenfassung

Dieser Artikel beschreibt den Server-Authentifizierungsprozess beim SSL-Handshake (SSL = Secure Sockets Layer).

Weitere Informationen

Beim SSL-Handshake sendet der Server dem Client ein Zertifikat, um sich zu authentifizieren. Der Client benutzt das Zertifikat, um die Identität des Ausstellers zu authentifizieren.

Ein Client mit aktiviertem SSL durchläuft zur Authentifizierung der Identität eines Servers die folgenden Schritte:
  1. Liegt das heutige Datum innerhalb des Gültigkeitszeitraums? Der Client überprüft den Gültigkeitszeitraum des Zertifikats des Servers. Liegen aktuelles Datum und Uhrzeit nicht in diesem Bereich, wird der Authentifizierungsprozess abgebrochen. Liegen aktuelles Datum und Uhrzeit innerhalb des Gültigkeitszeitraums des Zertifikats, fährt der Client mit Schritt 2 fort.

  2. Handelt es sich bei der ausstellenden Zertifizierungsstelle (Certificate Authority = CA) um eine vertrauenswürdige Zertifizierungsstelle? Jeder SSL-aktivierte Client führt eine Liste mit vertrauenswürdigen Zertifizierungsstellen. Diese Liste legt fest, welche Serverzertifikate der Client akzeptiert. Stimmt der definierte Name (DN) der ausstellenden Zertifizierungsstelle mit dem DN einer Zertifizierungsstelle auf der Liste der vertrauenswürdigen Zertifizierungsstellen des Clients überein, fährt der Client mit Schritt 3 fort. Steht die ausstellende Zertifizierungsstelle nicht auf der Liste des Clients, wird der Server nicht authentifiziert, es sei denn, der Client kann eine Zertifikatskette verifizieren, die bei einer Zertifizierungsstelle endet, welche auf der Liste steht.

  3. Validiert der öffentliche Schlüssel der ausstellenden Zertifizierungsstelle die digitale Signatur des Ausstellers? Der Client benutzt den öffentlichen Schlüssel des CA-Zertifikats (das er in seiner Liste von vertrauenswürdigen Zertifizierungsstellen in Schritt 2 gefunden hat), um die digitale Signatur der CA auf dem Serverzertifikat zu validieren, das ihm vorgelegt wird. Wenn sich die Informationen des Serverzertifikats seit dem Signieren durch die CA verändert haben oder der öffentliche Schlüssel des CA-Zertifikats nicht mit dem privaten Schlüssel übereinstimmt, der zum Signieren des Serverzertifikats von der CA verwendet wurde, authentifiziert der Client die Serveridentität nicht. Kann die digitale Signatur der CA validiert werden, so behandelt der Client das Serverzertifikat wie ein gültiges "Einführungsschreiben" seitens der CA und fährt fort. Zu diesem Zeitpunkt hat der Client festgestellt, dass das Serverzertifikat gültig ist. Der Client ist dafür zuständig, Schritt 4 durchzuführen, bevor er mit Schritt 5 fortfährt.

  4. Stimmt der Domänenname im Serverzertifikat mit dem Domänennamen des Servers überein? Mit diesem Schritt wird geprüft, ob sich der Server tatsächlich an derselben Netzwerkadresse befindet, die als Domänenname im Serverzertifikat angegeben ist. Obwohl Schritt 4 technisch gesehen nicht Teil des SSL-Protokolls ist, bietet er den einzigen Schutz gegen eine Art von Sicherheitsangriff, die als "Man-in-the-Middle Attack" bekannt ist. Clients müssen diesen Schritt ausführen und die Authentifizierung des Servers oder den Verbindungsaufbau verweigern, wenn die Domänennamen nicht übereinstimmen. Stimmt der tatsächliche Domänenname des Servers mit dem Domänennamen im Serverzertifikat überein, fährt der Client mit Schritt 5 fort.

  5. Der Server ist authentifiziert. Der Client fährt mit dem SSL-Handshake fort. Falls der Client aus irgendeinem Grund nicht bis zu Schritt 5 vordringt, kann der über das Zertifikat identifizierte Server nicht authentifiziert werden. Der Benutzer erhält eine Warnung bezüglich des Problems und wird informiert, dass eine verschlüsselte und authentifizierte Verbindung nicht hergestellt werden kann.

Informationsquellen

Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
257591 Beschreibung der SSL (Secure Sockets Layer)-Handshake-Prozedur

Eigenschaften

Artikel-ID: 257587 - Geändert am: Montag, 25. Februar 2008 - Version: 4.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
Keywords: 
kbinfo KB257587
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com