Zertifikate im TLS-Handshake
Ein Zertifikat beweist Identität – aber erst im TLS-Handshake zeigt sich,
wie dieser Nachweis tatsächlich funktioniert.
Wenn du eine Website wie https://informatik-pruefung.de öffnest,
starten dein Browser (Client) und der Webserver einen strukturierten Dialog.
Dabei tauschen sie Schlüssel, Zertifikate und Zufallswerte aus,
bis beide Seiten denselben geheimen Sitzungsschlüssel besitzen.
Der Ablauf im Überblick
| Phase | Beschreibung |
|---|---|
| 1. ClientHello | Der Client schlägt Verschlüsselungsmethoden (Cipher Suites) und Protokollversionen vor. |
| 2. ServerHello | Der Server wählt eine Methode aus und sendet sein Zertifikat. |
| 3. Zertifikatsprüfung | Der Client prüft das Zertifikat: Signatur, Gültigkeit, Chain, Domain. |
| 4. Schlüsselaustausch | Beide Seiten erzeugen einen gemeinsamen Sitzungsschlüssel (z. B. über Diffie-Hellman). |
| 5. Finished / Encrypted Data | Der verschlüsselte Datenaustausch beginnt. |
Beispielhafter TLS-Handshake (vereinfacht)
Client Server
│ │
│ ---- ClientHello ------>│ (Cipher Suites, Random, SNI)
│<---- ServerHello -------│ (gewählter Cipher)
│<---- Certificate -------│ (Zertifikat mit Public Key)
│---- Key Exchange ------>│ (Pre-Master Secret)
│<---- Server Finished ---│
│---- Client Finished --->│
│===== Verschlüsselter Datenverkehr =====▶
Visualisierung
Die folgende Animation zeigt diesen Ablauf grafisch:
Der Client startet, der Server antwortet mit Zertifikat und Schlüssel,
und die Verbindung wird schließlich „verschlüsselt hergestellt“.