Tach!
- Nehmen wir an ich nutze eine Webseite die https verwendet und trage dort etwas ins Kontaktformular ein. Anschließend schicke ich das Kontaktformular weg. Dazu müssen die Daten zunächst verschlüsselt werden. Für das Verschlüsseln erhalte ich den öffentlichen Schlüssel von der Zertifizierungsstelle wie z.B. Lets encrypt.
Nein, dein Browser hat keinen Bedarf, mit der Zertifizierungsstelle zu kommunizieren. Der öffentliche Schlüssel wird dem Browser vom Webserver übermittelt als Teil des Verbindungsaufbaus.
Das Zertifikat für die Domain enthält weitere Zertifikate, die bis auf ein Root-Zertifikat zurückgehen, das auch dem Browser bekannt ist. Der hat eine Liste von solchen Root-Zertifikaten an Bord. Wenn der Browser das Domainzertifikat erfolgreich gegen eines seiner Rootzertifikate prüfen konnte, sieht er das Domainzertifikat als gültig an (zuzüglich weiteren Kriterien, wie Ablaufzeit).
Mit diesem öffentlichen Schlüssel werden nun die Daten aus dem Kontaktformular verschlüsselt und an den Betreiber der https Seite gesendet. Der Betreiber der https Seite muss die Daten nun entschlüsseln, dazu verwendet er seinen privaten Schlüssel, diesen privaten Schlüssel hat er von der Zertifizierungsstelle erhalten, als er das Zertifikat dort beantragt hat. Habe ich das so richtig verstanden?
Nein, den privaten Schlüssel hat er Administrator vom Webserver erstellt. Den gibt er auch nicht an irgendwen heraus. Außerdem hat er eine Zertifikatsignierungsanforderung (CSR) erstellt, und nur die geht an die Zertifizierungsstelle. Daraus erzeugt selbige dann das Zertifikat.
- Nehmen wir an der Webseitenbetreiber möchte Informationen an einen Nutzer der Webseite schicken. Bevor er diese Informationen verschickt müssen diese Informationen zunächst verschlüsselt werden. Wie bei Frage 1 wird für das Verschlüsseln der öffentliche Schlüssel der Zertifizierungsstelle verwendet.
Nö, wird nicht.
Nun hat aber der Nutzer der Webseite keinen privaten Schlüssel, dieser liegt doch nur dem Webseitenbetreiber vor, deshalb die Frage wie der Nutzer der Webseite die Daten ohne privaten Schlüssel entschlüsseln kann?
Eben deswegen wird das nicht mit dem öffentlichen des Webservers verschlüsselt, sondern mit einem öffentlichen Schlüssel, den der Browser zu einem privaten erstellt hat, und der beim Verbindungsaufbau zum Server geht (der öffentliche). Und mit dem privaten kann der Browser das entschlüsseln.
dedlfix.