SSL-Handshake

Dieses Thema im Forum "Security" wurde erstellt von newb, 3. Juni 2009.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. newb

    newb New Member

    Registriert seit:
    3. Juni 2009
    Beiträge:
    2
    Hallo,

    ich habe eine URL wie z.B.

    https://meine.domain.tld/folder/scriptname.php?param=value

    Kann ich sicher sein, dass "folder/scriptname.php?param=value" immer verschlüsselt übertragen wird?

    Laut RFC 2818 / 2.1 "sollte" ja der erste GET-Request erst gesendet werden nachdem die Verbindung über TSL steht. Gibt es evt. Fälle in der Praxis bei denen Browser oder Applikationen die komplette URL unverschlüsselt rausschicken (zur Namensauflösung oder wegen was auch immer)?

    Habe mal ein wenig mit Firefox gespielt, hier konnte ich in den Protokollen (Wireshark) nicht feststellen, dass die Daten unverschlüsselt übertragen wurden.

    Ist mein Verständnis vom Ablauf generell richtig (stark vereinfacht dargestellt)?
    • URL wird in Browser eingetragen
    • Browser extrahiert Domain (meine.domain.tld)
    • Falls zugehörige IP nicht im Cache wird diese über den DNS-Dienst des OS angefordert (gibt es hier evt. Programmie die nicht nur die reine Domain sondern die ganze URL an das OS respektive DNS-Dienst weiterreichen?)
    • Kommunikation zwischen Server (auf Port 443) und Browser wird aufgebaut, TSL Handshake wird durchgeführt
    • Falls der Handshake erfolgreich war, folgt über die aufgebaute TSL-Verschlüsselung die erste GET-Anfrage an den Server (basierend auf dem HTTP-Protokoll), erst jetzt wird das
      "folder/scriptname.php?param=value" erstmalig übertragen.

    Und ja, ich habe die Suche verwenet, außer http://forum.webhostlist.de/forum/w...5455-wie-wird-eine-https-url-uebertragen.html
    nichts gefunden, und der Beitrag ist alt und beantwortet die Frage auch nicht eindeutig...

    Hat jemand eine Dokumentation wo das Verfahren genauer beschrieben ist?

    Danke für Eure Hilfe!
     
  2. [ameus] Stephan.Winter

    [ameus] Stephan.Winter Eingetragener Provider

    Registriert seit:
    2. April 2006
    Beiträge:
    1.130
    Ort:
    Paderborn
    Firmenname:
    Ameus GmbH
    Anbieterprofil:
    Klick
  3. newb

    newb New Member

    Registriert seit:
    3. Juni 2009
    Beiträge:
    2
    AW: SSL-Handshake

    Hallo,

    danke für das schnelle Feedback mich irritiert nur das "should" in der RFC, wodurch die Initaisierung auf die vorgegebene Methode nicht erzwungen wird.

    Aber ich unterstelle jetzt den gängigen Browser, dass diese das wie angegeben implementiert haben und meine Daten verschlüsselt übertragen werden :)

    Thx so far!
     
  4. [ameus] Stephan.Winter

    [ameus] Stephan.Winter Eingetragener Provider

    Registriert seit:
    2. April 2006
    Beiträge:
    1.130
    Ort:
    Paderborn
    Firmenname:
    Ameus GmbH
    Anbieterprofil:
    Klick
    AW: SSL-Handshake

    Hi

    Dazu dann RFC 2119:
    3. SHOULD This word, or the adjective "RECOMMENDED", mean that there
    may exist valid reasons in particular circumstances to ignore a
    particular item, but the full implications must be understood and
    carefully weighed before choosing a different course.
    Also unter bestimmten, wichtigen Umständen kann davon abgewichen werden.
     
  5. blinky

    blinky Erfahrener Benutzer

    Registriert seit:
    22. März 2001
    Beiträge:
    1.175
    AW: SSL-Handshake

    1. An einen DNS wird niemals eine ganze URL geschickt. Damit könnte der DNS-Server nicht umgehen.
    2. HTTPS Verbindungen werden - wie von Dir beschrieben - erstmal aufgebaut, dann wird der HTTP-Header übertragen (also das GET mit der URL).

    Genau genommen ist es also so wie von Dir gewünscht, dass die URL ***übers Netz*** nur verschlüsselt wandert. Auspassen, dass es keinen Redirect durch einen Link auf http:// gibt.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen