Document Actions

Digitale Zertifikate

Prüfen Sie die Vertrauenswürdigkeit von Zertifikaten

Digitale Zertifikate dienen der Überprüfung der Identität einer Person, der Verschlüsselung einer Datenübertragung oder der Authentifizierung eines Systems oder Dienstes. Zertifikate sollen Daten vor Manipulation, Diebstahl und Missbrauch schützen. Doch dazu müssen die Zertifikate vertrauenswürdig sein. Die Echtzeit des Zertifikats reicht dazu nicht aus. Auch die Sicherheit der verwendeten Verschlüsselung muss stimmen. Prüfen Sie deshalb digitale Zertifikate ganz genau, bevor Sie diesen vertrauen.

Eine http-Verbindung ist nicht sicher. Aber auch bei https ist Vorsicht angebracht.

Eine http-Verbindung ist nicht sicher. Aber auch bei https ist Vorsicht angebracht.

Digitale Zertifikate spielen in der Informationstechnologie eine große Rolle. So kommen Zertifikate insbesondere bei der

  • Authentifizierung von Server- und Clientsystemen
  • Verschlüsselung und Signatur von E-Mails
  • Verschlüsselung und Entschlüsselung einer gesicherten Datenübertragung
  • Softwareverteilung zur Prüfung der Identität des Herausgebers

zum Einsatz.

Auf den Zertifizierungsdiensteanbieter kommt es an

Wie bei einem herkömmlichen Ausweis auch enthalten digitale Zertifikate insbesondere eine eindeutige Seriennummer, Angaben über den Inhaber, eine bestimmte Gültigkeitsdauer sowie einen Hinweis auf den Aussteller des Zertifikats.

Dieser sogenannte Zertifizierungsdiensteanbieter (ZDA) signiert das von ihm ausgegebene Zertifikat, schützt das Zertifikat vor Manipulationen und bestätigt dabei die angegebene Identität des Zertifikatinhabers. Damit kommt dem ZDA eine besondere Bedeutung zu. Nur wenn der ZDA selbst vertrauenswürdig ist, kann das ausgegebene Zertifikat vertrauenswürdig sein.

Nun ist es aber so, dass im Prinzip jeder ein Zertifikat herausgeben könnte. Um die Vertrauenswürdigkeit des ZDA überprüfbar zu machen, benutzen die ZDA selbst Zertifikate, die die Identität des ZDA bestätigen. Diese Zertifikate für die ZDA gibt in Deutschland die Bundesnetzagentur (als Wurzelzertifizierungs-Diensteanbieter) aus.

So arbeitet die SSL-Verschlüsselung im Browser

Wenn Sie nun eine sichere Verbindung über Ihren Webbrowser herstellen wollen, so geschieht dies in der Regel über eine https-Verbindung (Secure http). Dabei wird dann für den Datentransfer meist das SSL-Protokoll (Secure Sockets Layer) verwendet. SSL ermöglicht dabei

  • die Vertraulichkeit der Daten (Verschlüsselung)
  • die Authentifizierung des Webservers
  • den Schutz vor Datenmanipulation (Prüfung der Integrität)

Mit dem Aufruf von https prüft Ihr Webbrowser, ob der Anbieter der gewünschten Website ein gültiges SSL-Zertifikat hinterlegt hat. Andernfalls meldet sich der Browser mit einer Warnmeldung. So könnte das Zertifikat unbekannt sein, die Echtheit also nicht prüfbar, oder aber die Gültigkeit des Zertifikats ist bereits abgelaufen. Unter Umständen wurde das Zertifikat aber auch gesperrt.

Um die Gültigkeit des Zertifikats zu überprüfen, nimmt der Browser Kontakt mit dem Verzeichnisdienst der angegebenen Zertifizierungstelle auf, wo eine Liste der ausgegebenen, gültigen Zertifikate sowie eine Sperrliste vorgehalten werden.

Vorsicht bei Warnmeldungen des Browsers!

Befindet sich ein Zertifikat auf der Sperrliste (CRL, Certificate Revocation List), so sind entweder nach der Zertifikatsausgabe Unstimmigkeiten bei der Identität des Zertifikatinhabers bekannt geworden oder der Inhaber selbst hat das Zertifikat sperren lassen, da ihm zum Beispiel der geheime Schlüssel gestohlen wurde.

Andere Gründe für Browser-Warnungen nach Anforderung einer https-Verbindung sind

  • eine Abweichung zwischen der Internetadresse (URL) der Website und der angegebenen Adresse auf dem SSL-Zertifikat
  • eine Überschreitung der Gültigkeitsdauer
  • das Zertifikat des ZDA gilt als nicht vertrauenswürdig

In allen diesen Fällen ist besondere Vorsicht geboten. Eine andere Internetadresse auf dem Zertifikat kann auf einen Phishing-Versuch hindeuten.

Das überschrittene Gültigkeitsdatum könnte bedeuten, dass der Anbieter seine Datensicherheit nicht so genau nimmt, und die nicht vertrauenswürdige Zertifizierungsstelle zeigt entweder, dass Ihr Browser das Wurzelzertifikat nicht kennt (wovon bei modernen Browsern jedoch nicht auszugehen ist) oder dass das Zertifikat von einem Dritten ausgestellt wurde, der keinerlei Gewährleistung für die Identität des Website-Anbieters übernehmen kann.

Online-Prüfungen kritisch hinterfragen

Im Falle solcher Zertifikatswarnungen sollten Sie keine vertraulichen Daten über die angefragte Website übertragen, da Sie weder die Identität noch die Verschlüsselung bei der Datenübertragung sicherstellen können. Am sichersten ist es, eine solche Website überhaupt nicht zu besuchen, da eine manipulierte Website als Teil einer Internetattacke vorliegen könnte.

Auch eine Online-Abfrage zur Gültigkeit eines Zertifikats auf der Website der Zertifizierungsstelle macht nur dann Sinn, wenn Sie dem ZDA, der das Zertifikat und die Prüfung anbietet, vertrauen können, dieser also durch einen Wurzelzertifizierungs-Diensteanbieter wie die Bundesnetzagentur zertifiziert wurde.

Andernfalls könnte der Angreifer die Gültigkeit seines Zertifikats unter Vorspielung falscher Tatsachen selbst bestätigen.

Echtheit der Zertifikate reicht nicht

Selbst wenn Sie keine Fehlermeldung durch Ihren Browser erhalten, also das digitale Zertifikat die Prüfung auf Echtheit und Gültigkeit bestanden hat, könnte die Sicherheit einer SSL-Verbindung gefährdet sein.

Die Güte der Verschlüsselung, also die Verschlüsselungsstärke und der Algorithmus, hängen davon ab, wie die SSL-Schlüssel für das Zertifikat genau erzeugt werden. So wurde vor kurzer Zeit berichtet, dass bestimmte fehlerhafte Systeme über eine längere Zeit hinweg nur schwache Schlüssel für Zertifikate erzeugt hatten.

Schwache Schlüssel bedingen auch schwache Zertifikate. Im Prinzip könnten also SSL-verschlüsselte Websites mit schwachen Zertifikaten eine abhörbare Datenübertragung aufbauen, obwohl der Browser eine https-Verbindung anzeigt. Teilweise wurden solche schwachen Zertifikate bereits gesperrt.

  • Stellen Sie deshalb sicher, dass Ihr Webbrowser regelmäßig eine automatische Prüfung der Certificate Revocation List vornimmt sowie vor einer schwachen Verschlüsselung warnt.
  • Bei Firefox 3.0 zum Beispiel erreichen Sie dies unter dem Menüpunkt Extras > Einstellungen > Erweitert > Verschlüsselung > Revocation-Listen und einem anschließenden Import aus dem Verzeichnisdienst eines ZDA.
  • Eine Warnung vor schwacher Verschlüsselung erhalten Sie im Fall von Firefox 3.0, wenn Sie den Menüpunkt Extras > Einstellungen > Sicherheit > Warnmeldungen aufrufen und den Punkt „Eine Sicherheitswarnung anzeigen, wenn eine nur schwach verschlüsselte Seite angezeigt werden soll“ auswählen.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Veröffentlicht:
2008-07-22

Diesen Artikel bookmarken bei...
Mister Wong del.icio.us Folkd Furl Google Linkarena oneview Yahoo MyWeb BlinkList YiGG Webnews Xing
Newsletter Datenschutz PRAXIS aktuell
  • Der kostenlose Newsletter informiert Sie über alles Wissenswerte, damit Sie an vorderster Front mitreden können.
Choose a newsletter
Datenschutz PRAXIS Urteil der Woche
Datenschutz PRAXIS aktuell abonnieren
Bitte geben Sie Ihre E-Mail-Adresse ein