Funktionsweise

• Client baut eine Verbindung zum Server auf.
• Server authentifiziert sich gegenüber dem Client mit einem Zertifikat.
• Client überprüft hierbei die Vertrauenswürdigkeit des X.509-Zertifikats
• Client prüft ob der Servername mit dem Zertifikat übereinstimmt.
• Client kann sich optional mit eigenen Zertifikat gegenüber dem Server authentifizieren.
• Dannach schickt Client dem Server eine mit dem öffentlichen Schlüssel des Servers verschlüsselte geheime Zufallszahl
• Alternativ berechnen die beiden Parteien mit dem Diffie-Hellman-Schlüsselaustausch ein gemeinsames Geheimnis.
• Aus dem Geheimnis wird dann ein kryptographischer Schlüssel abgeleitet.
• Schlüssel wird in der Folge benutzt, um alle Nachrichten der Verbindung mit einem symmetrischen Verschlüsselungsverfahren zu verschlüsseln
• Sowiezum Schutz von Nachrichten-Integrität und Authentizität durch einen Message Authentication Code abzusichern.

TLS-Protokolle im Protokollstapel

• TLS ist im OSI-Modell in Schicht 5 (der Sitzungsschicht) angeordnet.
• Im TCP/IP-Modell ist TLS oberhalb der Transportschicht (zum Beispiel TCP)
• Unterhalb Anwendungsprotokollen wie HTTP oder SMTP angesiedelt.
• Spezifikationen wird dies dann zum Beispiel als „HTTP over TLS“ bezeichnet.
• Beide Protokolle zusammengefasst, wird üblicherweise ein „S“ für Secure dem Protokoll angehängt (zum Beispiel HTTPS).
• TLS arbeitet transparent, so dass es leicht eingesetzt werden kann
• Kann Protokollen ohne eigene Sicherheitsmechanismen abgesicherte Verbindungen zur Verfügung zu stellen.
• Es ist erweiterbar, um Flexibilität und Zukunftssicherheit.