Hallo zusammen,
ich habe mich etwas in SSL vertieft, bin inzwischen zu einigen Erkenntnissen gelangt und hätte gerne eine Bestätigung oder Berichtigung dafür.
-
Zum Herstellen einer SSL-Verbindung
a) benötigt man ein Zertifikat, bekommt man z.B. von thawte
b) und SSL-Unterstützung auf seiten des Webservers, z.B. durch OpenSSL für Apache (das entsprechende Modul muss natürlich aktiviert werden)
c) und muss die entsprechende Seite dann einfach mit 'https://' anstatt 'http://' aufrufen. -
SSL sollte aus Performancegründen nur dann verwendet werden, wenn es wirklich benötigt wird.
Soweit meine "Erkenntnisse".
Eine Frage hätte ich allerdings noch bezüglich der Verbindung zwischen PHP und MySQL-Server mit SSL.
Ich muss gestehen, dass ich nicht informiert bin, wie genau mit PHP geöffnete MySQL-Verbindungen aussehen (sprich welches Protokoll verwendet wird; ob es sicherheitstechnisch einen Unterschied macht, ob die MySQL-Datenbank auf demselben Server liegt wie die PHP-Skripte)
Sofern es überhaupt einen Unterschied macht, ob MySQL-DB und PHP-Skripte auf demselben Server liegen oder nicht, gehen wir doch einmal davon aus, das sei _nicht_ der Fall.
- Was muss ich tun, um die Verbindung mit SSL zu sichern?
- Gibt es eine Möglichkeit, PHP-MySQL-Verbindungen nur manchmal mit SSL zu verschlüsseln (nämlich dann, wenn ein Benutzer eine Seite über 'https://' aufruft) oder wird dann jede Verbindung zwischen PHP und MySQL verschlüsselt?
- zu Frage 4: Falls jede Verbindung verschlüsselt wird, wie viel Performance kostet das in etwa?
Gruß,
Günther