05.06.2012
Internet
1. Teil: „Was sind Zertifikate?“
Was sind Zertifikate?
Autor: Andreas Fischer
Digitale Zertifikate sorgen für Sicherheit im Internet. Sie beglaubigen die Identität von Online-Banken und anderen verschlüsselten Seiten. Trotzdem kennt sich kaum ein Anwender damit aus.
Jedes Mal, wenn Sie die Webseite Ihrer Bank besuchen, empfängt Ihr Browser ein Zertifikat. Nur mit diesem Zertifikat kann er eine abhörsichere, verschlüsselte Verbindung zwischen Ihrem PC und dem Server der Bank aufbauen.
Obwohl Zertifikate also ein zentraler Bestandteil jeder sicheren Internetverbindung sind, kennt sich kaum ein Anwender damit aus. Der Artikel zeigt deswegen, was digitale Zertifikate sind, wo sie eingesetzt werden und wie man sie prüft.
Zertifikate bestätigen die Identität einer Webseite. Sie sind quasi der Personalausweis einer Webseite. Das ist praktisch für Sie, wenn Sie zum Beispiel Online-Banking machen. Dann wissen Sie, dass die Webseite auch wirklich der Bank gehört — und nicht irgendwelchen Betrügern.
Die Bank erhält ihr Zertifikat von einer Zertifizierungsstelle. Das sind private Unternehmen, die ihr Geld damit verdienen, die Identität anderer Unternehmen zu überprüfen. Solch ein Zertifizierungsverfahren, an dessen Ende das ausgestellte Zertifikat steht, kann einfach oder aufwendig sein. Banken lassen sich in der Regel aufwendig überprüfen — das reicht von Auszügen aus dem Handelsregister bis zu Hausbesuchen des Zertifizierers.
Das Zusammenspiel zwischen Zertifikaten und der Verschlüsselung mit SSL (Secure Sockets Layer) erklärt unser Profi-Wissen „Zertifikate — beglaubigte Identitäten“.
2. Teil: „13 Fragen und Antworten zu Zertifikaten“
13 Fragen und Antworten zu Zertifikaten
Was ist eigentlich ein Zertifikat
Wenn Sie zum Beispiel die Internetpräsenz der Postbank besuchen und dort auf „Online-Banking“ klicken, zeigt Firefox mit einem grünen Feld neben der Adressleiste an, dass für diese Verbindung ein geprüftes Zertifikat existiert.
Wer stellt Zertifikate aus?
Im obigen Beispiel wurde das Zertifikat der Postbank von Verisign ausgestellt, wie man in Bild A hinter „Verifiziert von“ sieht. Die Firma ist ein Tochterunternehmen von Symantec und einer der größten und bekanntesten Aussteller von Zertifikaten im Internet . Verisign ist eine private Firma, die mit anderen Unternehmen konkurriert. So bekommt man in Deutschland Zertifikate beispielsweise auch von TC Trustcenter und Geotrust. Beide Firmen gehören ebenfalls zu Symantec. Ein unabhängiger Anbieter von Zertifikaten ist PWS Group. Wer seine Identität beglaubigt haben will, geht zu einem dieser Unternehmen und muss sich einem Prüfverfahren unterziehen. Das kostet für ein einfaches Zertifikat ab etwa 50 Euro im Jahr. Aufwendiger geprüfte Zertifikate, wie sie Banken in der Regel verwenden, kosten jährlich mehrere Hundert Euro.
Wofür ist das wichtig?
Woher weiß Firefox, dass das Zertifikat echt ist?
Der Browser erkennt, dass das Zertifikat der Postbank echt ist, weil es von Verisign geprüft und unterschrieben wurde. Das System funktioniert ähnlich wie das Verschlüsselungsverfahren von PGP (Pretty Good Privacy). Dort wird ein Schlüssel als vertrauenswürdig eingestuft, wenn ihn mindestens eine andere vertrauenswürdige Person unterschrieben hat.
Warum vertraut Firefox Verisign?
Kann ich eine Website ohne beglaubigtes Zertifikat besuchen?
Wurde das Zertifikat einer Website von niemandem unterschrieben oder gibt es kein im Browser gespeichertes Stammzertifikat, dann vertraut Firefox der Verbindung nicht. Das heißt aber nicht automatisch, dass es sich dabei um eine gefährliche Seite handelt, die Sie nicht besuchen sollten. Bankgeschäfte sollten Sie auf dieser Website zwar nicht abwickeln, aber wenn es zum Beispiel um ein soziales Netzwerk geht, können Sie die Verbindung auf eigenes Risiko herstellen.
Woran erkenne ich ein vertrauenswürdiges Zertifikat?
Sie erkennen ein geprüftes Zertifikat in Firefox an dem grünen Feld neben der Adressleiste. Außerdem beginnt die Webadresse einer zertifizierten Webseite mit „https://“ und nicht mit „http://“.
Was bedeutet „https://“?
Die Abkürzung HTTPS steht für Hypertext Transfer Protocol Secure. HTTPS bedeutet, dass die zwischen dem Browser und dem Server Ihrer Bank gesendeten Daten verschlüsselt übertragen werden.
Die Verschlüsselung der Daten erfolgt mit SSL (Secure Sockets Layer). Bei diesem symmetrischen Verfahren verwenden beide Kommunikationspartner denselben Schlüssel. Dieser Schlüssel darf natürlich nicht in die falschen Hände fallen. Damit dies nicht geschieht, wird zuerst ein asymmetrisches Verfahren eingesetzt. In dem Zertifikat Ihrer Bank ist der öffentliche Schlüssel der Bank enthalten. Der dazugehörige private Schlüssel ist geheim und befindet sich nur im Besitz der Bank.
Der Browser auf Ihrem Computer erstellt einen symmetrischen Schlüssel und verschlüsselt ihn mit dem öffentlichen Schlüssel der Bank. Anschließend kann ihn nur noch die Bank mit ihrem privaten Schlüssel entschlüsseln. Das funktioniert wie bei PGP. Der Browser sendet das verschlüsselte Paket an die Bank, wo es entpackt wird. Anschließend haben sowohl Ihr Browser als auch die Bank denselben symmetrischen Schlüssel, der für die weitere Kommunikation verwendet wird.
Sobald Sie sich aus Ihrem Online-Konto ausloggen oder wenn die Sitzung abgelaufen ist, verfällt dieser Schlüssel. Beim nächsten Besuch der Online-Banking-Seiten erstellt der Browser wieder einen neuen geheimen Schlüssel, der dann für die aktuelle Sitzung eingesetzt wird.
Kann ich mir so ein Zertifikat ansehen?
Klicken Sie auf „Weitere Informationen…“, um zusätzliche Details aufzurufen. Unter „Website-Identität“ sehen Sie wieder die allgemeinen Informationen zu dem verwendeten Zertifikat.
Bei „Datenschutz&Chronik“ zeigt Firefox darüber hinaus an, wie oft Sie diese Webseite schon besucht haben. Darüber hinaus sehen Sie, ob Cookies abspeichert und ob Passwörter im Browser hinterlegt sind.
Welche Verschlüsselung für die übertragenen Daten zwischen dem Server der Bank und Ihrem Browser eingesetzt wird, sehen Sie bei „Technische Details“. Die Postbank beispielsweise verwendet AES (Advanced Encryption Standard) mit einem 256 Bit langen Schlüssel.
Klicken Sie auf „Berechtigungen“, um selbst festzulegen, was die besuchte Seite darf und was nicht. So haben Sie hier etwa die Möglichkeit, das Häkchen vor „Auf aktuellen Ort zugreifen“ zu entfernen. Der Browser sendet dann keine Standortinformationen mehr. „Medien“ zeigt, aus welchen Bild- und Textdateien die Webseite Ihrer Bank besteht, während Sie unter „Allgemein“ noch einmal eine knappe Zusammenfassung über das Zertifikat finden.
Die ausführlichsten Infos erhalten Sie nach einem Klick auf „Zertifikat anzeigen“. An dieser Stelle steht dann unter anderem auch, um welche Zertifikatsklasse es sich handelt. Die Postbank verwendet — wie praktisch alle Banken — ein Zertifikat mit der Bezeichnung Class 3 Extended Validation.
Was bedeutet Class 3 Extended Validation?
Zertifikate sind, je nachdem mit wie viel Aufwand sie bei der Erstellung überprüft wurden, in mehrere Klassen eingeteilt. Class 0, also die niedrigste Klasse, wird nur für Testzertifikate vergeben oder wenn sich jemand selbst ein Zertifikat ausstellt.
Zertifikate nach Class 1 heißen auch Domain Validated. Hier prüfen die Zertifikatsanbieter mit einer Bestätigungs-Mail, ob der Antragsteller Zugriff auf zum Beispiel webmaster@adresse.de hat. Das ist ein simpler Existenz-Check.
Class-2-Zertifikate sind Organisation Validated. Hier prüfen Aussteller wie Verisign, ob die Firma wirklich existiert. Dazu ist eine schriftliche Bestätigung notwendig. Zertifikate dieser Klasse werden in der Praxis aber kaum verwendet.
Am weitesten verbreitet sind Zertifikate nach Class 3 mit Extended Validation. Banken beispielsweise verwenden nur Class-3-Zertifikate. Hier wird etwa ein Handelsregisterauszug, ein Gewerbenachweis oder bei Privatpersonen der Personalausweis geprüft. Dies wird mit den Besitzerdaten zur Domain verglichen.
Woran erkenne ich ein Class-1-Zertifikat?
gmx.net ein Class-1-Zertifikat.
Zertifikate nach Class 1 markiert Firefox mit einem blauen Feld neben der Adressleiste. Zum Beispiel verwendet GMX unter Kann ich Zertifikate in Firefox nur über das grüne oder blaue Feld aufrufen?
Nein, es gibt auch eine zentrale Zertifikatsverwaltung in Firefox. Klicken Sie dazu auf „Firefox, Einstellungen, Einstellungen“. Wählen Sie „Erweitert“ und dann „Verschlüsselung“ aus. Ein Klick auf „Zertifikate anzeigen“ öffnet den „Zertifikat-Manager“.
Der wichtigste Reiter ist „Zertifizierungsstellen“. Hier listet der Browser alle Unternehmen auf, deren Stammzertifikate er gespeichert hat. Details zu den gespeicherten Zertifikaten erhalten Sie per Doppelklick auf einen Eintrag. Es ist jedoch nicht möglich, auf einen Blick zu erfahren, ob Firefox das Zertifikat für vertrauenswürdig hält oder nicht.
Angreifer im Juli 2011 die Server von Diginotar gehackt und gefälschte Zertifikate ausgestellt hatte. Microsoft hat das besser gelöst. Die Zertifikatsverwaltung von Windows, die auch der Internet Explorer nutzt, zeigt nicht mehr vertrauenswürdige Zertifikate übersichtlich an.
Dazu müssen Sie erst ein Zertifikat auswählen und dann auf „Vertrauen bearbeiten…“ klicken. Bei „DigiNotar Root CA“ sehen Sie beispielsweise, dass die Mozilla-Entwickler diesem Stammzertifikat das Vertrauen entzogen haben. Das liegt daran, dass ein Wo finde ich die von Windows verwalteten Zertifikate?
Um die Zertifikatsverwaltung von Windows zu öffnen, rufen Sie „Start, Systemsteuerung, Netzwerk und Internet“ auf und klicken dann auf „Internetoptionen“. Wechseln Sie zum Reiter „Inhalte“ und klicken Sie auf „Zertifikate“.
In Windows hinterlegte Stammzertifikate sehen Sie unter „Vertrauenswürdige Stammzertifizierungsstellen“. Klicken Sie rechts daneben auf das nach rechts zeigende Dreieck, bis Sie zu „Nicht vertrauenswürdige Herausgeber“ kommen. Hier stehen alle Stammzertifikate, die nicht vertrauenswürdig sind. Dazu gehören auch die inzwischen gesperrten Zertifikate von Diginotar.
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
Glasfasernetz
GlobalConnect stellt B2C-Geschäft in Deutschland ein
Der Glasfaseranbieter GlobalConnect will sich in Deutschland künftig auf das B2B- und das Carrier-Geschäft konzentrieren und stoppt die Gewinnung von Privatkunden mit Internet- und Telefonanschlüssen.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>
Untersuchung
Amerikaner sehen KI als Risiko für Wahlen
Die Unterscheidung zwischen echten Infos und KI-Inhalten fällt vielen politisch interessierten US-Amerikanern schwer, wie eine Studie des Polarization Research Lab zeigt.
>>