HTTPS funktioniert aus Anwendersicht ganz einfach: Wenn Sie im Webbrowser durch den Aufruf eines HTTPS-Links eine sichere Verbindung etwa zu Ihrer Bank aufbauen, stellt Ihr Browser zunächst eine unverschlüsselte Verbindung zum angegebenen Server her. Der weist sich mit einem Zertifikat aus, das seinen öffentlichen Schlüssel und die Signatur eines vertrauenswürdigen Dritten, einer sogenannten Zertifizierungsstelle (Certificate Authority, CA), enthält. Die CA bestätigt durch ihre Signatur, dass der Schlüssel zum im Zertifikat angegebenen Server gehört. Ihr Browser prüft das Zertifikat. Dazu enthält er ab Werk eine Liste von aus Sicht des jeweiligen Browserherstellers vertrauenswürdigen CAs. Wurde das Zertifikat nicht von einer dieser CAs ausgestellt, ist die Signatur nicht korrekt oder passt sie nicht zum Server, gibt der Browser eine Warnung aus und beendet den Verbindungsaufbau, sofern Sie die potenziell unsichere Verbindung nicht trotzdem verlangen.
Verläuft die Prüfung erfolgreich (oder stimmen Sie trotz Fehlers dem Verbindungsaufbau zu), erzeugt der Browser einen symmetrischen Schlüssel, der nur für die aktuelle Sitzung verwendet wird, den sogenannten Sitzungsschlüssel oder Session Key. Der wird mit dem öffentlichen Schlüssel des Webservers verschlüsselt und an den Webserver gesendet. Nachdem der Webserver den Sitzungsschlüssel mit seinem privaten Schlüssel entschlüsselt hat, besitzen sowohl Webbrowser als auch Webserver einen gemeinsamen Schlüssel
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.