"Lars Hoffmann" <lars@intercambiodvd.com> writes:
> Jeg har lige et spørgsmål angående SSL kryptering. Så vidt jeg kan
> forstå virker SSL noget forsimplet som følger,:
Meget forsimplet.
> 1) Browseren beder om en sikker forbindelse.
Ved HTTP over SSL (HTTPS) sker dette som sådan ikke. Browseren
begybnder bare at snakke SSL når den forbinder sig. Standardporten for
https er så en anden end for normal http.
Andre protokoller giver mulighed for at bede om SSL i en eksisterende
forbindelse.
> 2) Serveren sender sin public key
Begge parter i en SSL forbindelse kan authentificere sig, men det er
ikke nødvendigt. Man kan godt lave SSL uden at bruge
servercertifikater, så har brugeren bare ingen sikkerhed for at
serveren er den den udgiver sig for, men man har stadigvæk en
krypteret kanal.
> 3) Kliente krypterer nu al data der sendes til serveren via dennes
> public key, og serveren dekrypterer dette med sin private key.
Selve den krypteret trafik sker med en sessionsnøgle som er blevet
udvekslet i indledningen. public key-kryptering er for langsomt til at
kryptere hele sessions.
> Betyder dette at det kun er data der sendes fra klienten til serveren
> der krypteres, og at data der sendes den anden vej fortsat er
> ukrypterede? Hvis ikke, hvilke keys bliver dette så krypteret med?
Nej, der er kryptering begge veje med en nøgle lavet specielt til den
aktuelle forbindelse.
--
Peter Makholm | Ladies and gentlemen, take my advice, pull down your
peter@makholm.net | pants and slide on the ice
http://hacking.dk | -- Sidney Freedman