Unterschied HTTPS und EAP-TLS

[NetCat++]

Wenn ich HTTPS nutze, dann wird doch auch ein Handshake gemacht und der Server und eventuell der Client authentifiziert.
Warum braucht man dann aber noch EAP-TLS? Wird EAP-TLS benutzt, wenn man dann nicht eine Verbindung mit HTTPS ausführt?
Und wenn man zuvor mit EAP-TLS eine authentifizierung durchgeführt hat und mann dann eine Verbindung mit HTTPS macht, braucht HTTPS dann noch einen Handshake durchzuführen?

 

[Conqi]

Du wirfst hier Dinge ziemlich durcheinander. HTTPS ist ein Protokoll zur verschlüsselten Datenübertragung. Da gibt es einen Handshake, weil das auf SSL setzt, aber deswegen ist noch nichts wirklich authentifiziert. Insbesondere die Website hat keine Ahnung über den Client, weil das im Normalfall keine Rolle spielt.

EAP ist ein Protokoll zur Authentifizierung von Clients, damit diese sich in ein Netzwerk einwählen können. An der Stelle endet das aber auch. Die Übertragung von Daten im Anschluss kann auf x verschiedene Arten erfolgen.

 

[ChrisDeath]

Conqi hat da absolut recht. EAP-TLS ist teil vom Data Link Layer des OSI Models (PPP) (https://sites.google.com/site/yutbms/osi-model), HTTPS is jedoch Layer 6 und 7.
Um es vereinfacht auszudrücken, EAP kommt nur zwischen deinem Endgerät und dem Router/Access Point zum Zuge. Allerdings nur um überhaupt Daten übermitteln zu dürfen. Sobald deine Daten dann dein Netzwerk verlassen, ist damit erstmal wieder "Schluss" und darum braucht es nochmals einige Stufen darüber eine Verschlüsselung, eben Layer 6. Somit können auch Wechsel der Technologie bzw. darunter liegenden Layers stattfinden ohne dass die übermittelten Daten in Klartext übermittelt werden. Also ist HTTPS nicht überflüssig, falls das deine Frage war

 

[NetCat++]

TLS ist laut dem Schichtenmodell auf Layer 6 und EAP ist aber auf Schicht 2 angesiedelt. Wie kann dann EAP noch TLS nutzen, wenn es für diese Schicht gar nicht spezifiziert ist?

 

[Natriumchlorid]

EAP ist, wie der Name schon sagt, das Extensible Authentication Protocol. Das heißt es braucht nicht immer ein "neues" Protokoll für eine Authentifizierung. EAP unterstützt mehrere Authentifizerungsmethoden.
Siehe dazu RFC 3748 (... an authentication framework which supports multiple authentication methods.)

EAP-TLS verkapselt jetzt einfach TLS/SSL-Nachrichten in EAP-Nachrichten. Es läuft weiterhin auf Schicht 2, da es immer noch EAP ist, aber der Inhalt der EAP-Frames ist TLS.

 

[NetCat++]

Supi, danke schon einmal für die ganzen Antworten. Eine kleine Frage hätte ich dann aber noch:
Authentication_TLS_EAP

In diesem Thread von security.stackexchange wird gesagt, dass TLS nicht immer zwingend eine gegenseitige Authentifizierung erfordert. Aber der Server muss bei TLS immer authentifiziert werden? Unterstützt TLS aber auch eine gegenseitige Authententifizierung und ist das dann Aufgabe von EAP, also wäre das eine mögliche Erweiterung durch EAP? Ich habe die RFC zu EAP-TLS nur überflogen, da kam es mir eben so vor.

 

[up.whatever]

TLS erlaubt, dass sich der Client gegenüber dem Server mit einem signierten (client-)Zertifikat authentifiziert. Bei HTTPS (HTTP über TLS) wird das nur selten verwendet, bei EAP-TLS hingegen ist es zwingend notwendig.

 

[NetCat++]

Eine Rückfrage hätte ich dann doch noch: Wie kann man sich das vorstellen, dass EAP nur auf Schicht 2 läuft? Bei Ethernet ist mir das irgendwie klar, aber wie kann EAP nur auf Schicht 2 arbeiten?