LS_no_Post_Pic_Big

Kostenfreie Zertifikate (Teil 1)

Grundsätzliches: Vertrauen

Kostenfreie Zertifikate kann man an vielen Stellen beantragen und bekommen. Außerdem sind wohl heutzutage die meisten Systeme in der Lage, fix ein selbstsigniertes Zertifikat auszustellen. Diese Zertifikate sind in Punkto Sicherheit und Integrität weder besser noch schlechter als kostenpflichtige Zertifikate, die am freien Markt erworben werden können.

Der Knackpunkt ist das Vertrauen. Zertifikate sollen neben Integrität und Vertraulichkeit auch noch Authentizität bedienen. (Ja sowas aber auch…) Hierzu führt der Aussteller eines Zertifikats eine Verifikation des zukünftigen Inhabers durch. Mal besser, mal schlechter, mal teuer, mal günstig.

Ein Beispiel:

image

image

Wenn Ihnen eine Internetseite ein Zertifikat präsentiert, stellt sie erstens sicher, dass die Datenübertragung zwischen Ihnen und der Website verschlüsselt ist. Weiterhin soll das Zertifikat beweisen, dass Sie sich im Augenblick auch wirklich auf der Seite des Zertifikatsinhabers – im nebenstehendem Falle GMX – sind und nicht auf einen Phishingbetrüger hereinfallen. Dazu versichert Ihnen eine Zertifizierungsstelle, den Zertifikatinhaber auf dessen Identität überprüft zu haben. GMX hat den kommerziellen Zertifikatsanbieter VeriSign gewählt, der sicher stellen soll, dass hinter der aufgerufenen GMX-Seite auch wirklich GMX steht. Die Überprüfung kann im schlechtesten Fall eine gültige E-Mail Adresse sein, aber auch eine “echte” Überprüfung mittels Post-Ident usw. VeriSign ist übrigens der Platzhirsch unter den kommerziellen Zertifizierungsstellen.

Wem kann man vertrauen?

Woher wissen wir jedoch, dass VeriSign in obigen Beispiel korrekt gearbeitet hat? Es weist alles darauf hin: Der Browser hat keine Warnmeldung gezeigt, der Antivirenscanner ist nicht angesprungen, und die Browserleiste ist sogar grün, eine positive Signalfarbe.

Das Geheimnis liegt in den sogenannten Stammzertifizierungsstellen. Der Deal ist, wenn eine Applikation wie der Browser einer Zertifizierungsstelle vertraut, vertraut sie auch gleichzeitig jenen Zertifikaten, die diese Zertifizierungsstelle ausgestellt hat. Die oberste Zertifizierungsstelle nennt man Stammzertifizierungsstelle. Bleibt die Frage, woher weiß nun mein Browser, dass VeriSign in der Lage ist, GMX sauber zu authentifizieren, und somit nicht meckert?

Den Lösungshinweis bringt eine genauere Betrachtung des lokalen Zertifikatsspeichers. Im Zertifikatsspeicher bewahrtimage Windows die unterschiedlichsten Zertifikate auf. Auf den Zertifikatsspeicher kann mit einer MMC zugegriffen werden. Es gibt drei unterschiedliche Speicher, zwei davon sind für uns in diesem Artikel relevant: Im Speicher für den lokalen Computer werden Zertifikate abgespeichert, die für den gesamten Rechner gelten. Der Speicher für den lokalen Benutzer enthält Zertifikate für den jeweils angemeldeten Benutzer.

Eine “Abteilung” im Zertifikatsspeicher sind die “vertrauenswürdigen Stammzertifizierungsstellen”. Alle dort abgelegten Zertifikate erachtet Windows als vertrauenswürdig – und damit auch alle Zertifikate die irgendwann von diesen Stellen ausgestellt wurden. Die Zertifikate denen wir vertrauen, müssen im Übrigen nicht direkt von der obersten Stelle ausgestellt sein. Es reicht aus, wenn eine Stammzertifizierungsstelle einer weiteren, imageuntergeordneten Stelle ein Zertifikat ausstellt. Auch dieser untergeordneten Stelle vertrauen wir voll und ganz – wenn das “Mutterzertifikat”, auch als Rootzertifikat bezeichnet, in der Abteilung “vertrauenswürdige Stammzertifizierungsstellen” liegt. Man spricht hier von einer Zertifikatskette. Wie wir gleich sehen, sind bereits einige Zertifikate in den vertrauenswürdigen Stammzertifizierungsstellen gespeichert.

Um die Verwirrung zu komplettieren, bringen unterschiedliche Applikationen, wie z.B. Mozilla Firefox auch noch eigene Zertifikatsspeicher mit. Auch dort gibt es jeweils eine Abteilung vertrauenswürdige Stammzertifizierungsstellen – die sich allerdings von der in Windows integrierten Variante unterscheiden kann. Bei Opera sieht das ganze wieder anders aus. Der Internet-Explorer nutzt hingegen den eingebauten Speicher von Windows. Wir vertrauen also den Zertifikaten die z.B. per Windows-Update oder Firefox-Update vollautomatisch eingepflegt werden. Sehr vertrauenswürdig, das Ganze.

Begeben wir uns auf die Suche nach den unterschiedlichen Stammzertifizierungsstellen:

Problem kommerziell / nichtkommerziell

Wer nun selbst mit Zertifikaten arbeiten möchte, um zum Beispiel eine HTTPS-Implementierung für seine Internetseite zur Verfügung zu stellen, hat die Wahl: Entweder er bezahlt für ein kommerzielles Zertifikat einer bekannten Zertifizierungsstelle und erreicht damit, dass die allermeisten Applikationen (z.B. Browser) dieses Zertifikat als vertrauenswürdig erachten, oder es wird ein selbstsigniertes Zertifikat verwendet, respektive eben das einer kostenfreien Zertifizierungsstelle. In letzterer Variante könnte allerdings folgendes passieren:

image

Nun ist es so, dass ich als unbedarfter Benutzer, der beispielsweise gerade einen Online-Einkauf abschließen möchte beim Anblick dieser Warnung meinen Browser direkt schließen würde, anstelle meine Kreditkartendaten für die Abbuchung einzutragen. Klar könnte ich das Wurzelzertifikat dieser Zertifizierungsstelle manuell in den vertrauenswürdigen Speicher laden, aber mal ehrlich: Welcher anonyme User würde dies tun?

Bisher war es so, dass es keine Stammzertifizierungsstelle gab, die einerseits kostenfreie Zertifikate ausstellte und gleichzeitig in den vertrauenswürdigen Speichern der wichtigsten Applikationen zu finden war. Um die Problematik zu umgehen, können Unternehmen solche nichtkommerziellen / selbsterstellten Zertifikate mit unterschiedlichen Verteilungsmechanismen auf die Unternehmensrechner verteilen. Das könnte z.B. bei Heimarbeitsplätzen, notwendig sein. Wer aber im / für den öffentlichen Raum arbeitet und somit die Applikation und deren “Stamm-Vertrauen” des Gegenübers nicht kennt, tut gut daran, eine Zertifizierungsstelle zu finden, die möglichst alle Applikationen als vertrauenswürdig akzeptieren – womit wir wieder bei VeriSign und Konsorten wären. Wir halten fest: Bisher musste man beim usergerechten Einsatz von Zertifikaten im Internet in der Regel blechen.

Lesen sie in Teil 2: Kostenfreie Zertifikate ohne Warnung?

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *