Eine HTTPS-Verbindung ist verschlüsselt und daher sicher; eine ungeschützte Verbindung ist es demnach nicht. Einfach, oder? Woher stammen SSL-Zertifikate überhaupt, was ist der Unterschied zwischen SSL und TLS und was hat ein digitales Zertifikat mit Sicherheit zu tun?
In diesem Beitrag möchten wir versuchen, zumindest einige dieser und andere verwandte Fragen zu beantworten. Beginnen wir allerdings mit der Bedeutung von HTTP und HTTPS in der Adresszeile Ihres Browsers.
HTTP und HTTPS zur Datenübertragung
Beim Besuch einer Website oder bei der Eingabe bestimmter Daten auf dieser Website werden Informationen zwischen dem Computer des Besuchers und dem Server ausgetauscht, auf dem die Website gehostet wird. Dieser Prozess wird durch ein Datenübertragungsprotokoll gesteuert, das als HTTP (HyperText Transfer Protocol) bezeichnet wird.
Die Erweiterung von HTTP, HTTPS (HyperText Transfer Protocol Secure), weist eine zusätzliche Schutzebene auf. Das sichere HTTPS-Verfahren übernimmt die Übertragung von Informationen zwischen Client und Server in verschlüsselter Form. Das bedeutet, dass keine Drittpersonen (z. B. Ihr Internetanbieter oder Administrator) auf Informationen, die zwischen Client und Server ausgetauscht werden, zugreifen kann.
Daten, die vom Client an den Server übertragen werden, werden wiederum mit einem eigenen kryptografischen Protokoll verschlüsselt. Das erste zu diesem Zweck verwendete Protokoll war SSL (Secure Sockets Layer). Es gab mehrere Versionen des SSL-Protokolls, die mit der Zeit bestimmte Sicherheitsprobleme aufwiesen. Eine überarbeitete Version, die noch heute verwendet wird, folgte – TLS (Transport Layer Security). Die Initialen SSL verankerten sich allerdings in den Köpfen der Nutzer und so wird die neue Version des Protokolls auch heute noch oftmals mit dem alten Namen SSL bezeichnet.
Zur Verschlüsselung muss eine Website über ein Zertifikat, das oftmals auch als digitale Signatur bezeichnet wird, verfügen, mit dem bestätigt wird, dass der Verschlüsselungsmechanismus vertrauenswürdig ist und dem Protokoll entspricht. Zusätzlich weist ein kleines grünes Schloss (in einigen Browsern auch eine Art Schutzschild) mit dem Wort Sicher oder dem Namen des Unternehmens in der Browser-Adressleiste auf eine sichere Verbindung hin.
Was digitale Zertifikate sind, welche Arten es gibt und welche Probleme mit ihnen verbunden sind
Tweet
So erhält eine Website ein SSL-Zertifikat
Es gibt zwei Möglichkeiten, ein solches Zertifikat zu erhalten. Ein Webmaster kann das Zertifikat ausstellen und signieren und kryptografische Schlüssel generieren. Derartige Zertifikate werden auch selbstsignierte Zertifikate genannt. Beim Versuch, auf die Website zuzugreifen, taucht eine Warnmeldung auf, die Nutzer darauf hinweist, dass das Zertifikat nicht vertrauenswürdig ist.
Auf solchen Websites zeigt das Browserfenster ein durchgestrichenes Schloss, ein rotes Schutzschild, die Wörter Nicht sicher, die Buchstaben HTTPS rot statt grün markiert oder die Buchstaben HTTPS durchgestrichen und rot markiert in der Adresszeile an – das Ganze kann je nach Browser und für verschiedene Versionen desselben Browsers variieren.
Die bessere Möglichkeit besteht darin, ein Zertifikat zu erwerben, das von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert wurde. CAs überprüfen die Dokumente des Eigentümers der Website und sein Recht auf den Besitz der Domain – schließlich sollte ein Zertifikat signalisieren, dass die Ressource zu einem legitimen Unternehmen gehört, das in einer bestimmten Region registriert und ansässig ist.
Obwohl es relativ viele CAs gibt, kann man die Anzahl der sogenannten Blue-Chip-CAs an den Fingern abzählen. Die Reputation einer CA bestimmt, wie viel Vertrauen Browser-Entwickler ihr schenken; der Preis eines Zertifikats hängt von der Art und Gültigkeitsdauer sowie von der Reputation der CA ab.
Arten von SSL-Zertifikaten
Es gibt unterschiedliche Zertifikatstypen, die von Zertifizierungsstellen signiert werden: Sie unterscheiden sich in ihrer Vertrauenswürdigkeit, dem Erwerbspreis, usw.
Domain-Validation-Zertifikate
Um ein Domain-Validierungszertifikat zu erhalten, muss eine natürliche oder juristische Person nachweisen können, dass sie im Besitz der betreffenden Domain ist oder ihre Website unter der jeweiligen Domain verwaltet. Zwar wird mithilfe des Zertifikats die Herstellung einer sicheren Verbindung ermöglicht, es enthält jedoch keine Informationen zu dem zugehörigen Unternehmen und es sind keine Dokumente für seine Ausstellung erforderlich. Ein solches Zertifikat zu erhalten nimmt meist nur wenige Minuten in Anspruch.
Organization-Validation-Zertifikate
Übergeordnete Versionen werden als Organisation-Validierungs-Zertifikate bezeichnet, die nicht nur bestätigen, dass die Verbindung zu einer Domain sicher ist, sondern dass diese auch tatsächlich zu dem Unternehmen gehört, das im Zertifikat angegeben ist. Das Überprüfen der gesamten Dokumentation und das anschließende Ausstellen eines Zertifikats kann mehrere Tage dauern. Wenn eine Website über ein DV- oder OV-Zertifikat verfügt, zeigt der Browser ein graues oder grünes Schloss mit dem Wort Sicher und den Buchstaben HTTPS in der Adressleiste an.
Extended-Validation-Zertifikate
Auf der obersten Ebene befinden sich die Extended-Validation-SSL-Zertifikate. Wie beim OV-Zertifikat ist die Ausgabe dieser Zertifikate an strengere Vergabekriterien gebunden. In der Adressleiste wird der Name und der Standort eines Unternehmens in grüner Schrift neben dem grünen Schloss angezeigt.
EV-Zertifikate sind am vertrauenswürdigsten und somit auch die teuersten. Auch hier können je nach Browser Informationen über das Zertifikat (wer es wann ausgestellt hat) angezeigt werden, indem man auf den Namen des Unternehmens oder auf das Wort Sicher klickt.
Probleme
Online-Sicherheit und Benutzerdatenschutz sind zentrale Grundprinzipien, die große Browser-Entwickler wie Google und Mozilla in ihre Richtlinien berücksichtigen. Im Herbst 2017 kündigte Google beispielsweise an, dass zukünftig alle Seiten mit einer HTTP-Verbindung als „nicht sicher“ markiert werden würden und es Nutzern den Zugang zu solchen Seiten erheblich erschweren würde.
Googles Spielzug zwang die Websites mit HTTP-Verbindung dazu, ein vertrauenswürdiges Zertifikat zu erwerben. Dementsprechend stieg die Nachfrage an CA-Diensten, was viele Behörden dazu veranlasste, die Phase der Dokumentenprüfung zu beschleunigen, was sich wiederum negativ auf die Qualitätskontrolle auswirkte.
Demnach können heutzutage Zertifikate an Websites vergeben werden, die nicht zu 100 Prozent vertrauenswürdig sind. Eine Studie von Google ergab, dass eine der größten und renommiertesten Zertifizierungsstellen mehr als 30.000 Zertifikate ohne Sorgfaltsprüfung ausgestellt hatte. Die Konsequenzen für die fragliche CA waren gravierend: Google gab bekannt, dass das Unternehmen allen betroffenen Websites das Vertrauen entziehen würde, bis das Verifizierungssystem vollständig überarbeitet und neue Standards eingeführt würden. Mozilla plant außerdem, die Überprüfung von Zertifikaten in seinen Browsern zu verschärfen.
Trotz derartiger Maßnahmen kann man immer noch nicht vollständig darauf vertrauen, dass ein Zertifikat und sein Besitzer zu 100 % authentisch sind. Selbst bei einem EV-Zertifikat, das äußerlich alle Sicherheitsanforderungen erfüllt, kann dem grünen Schloss nicht bedingungslos vertraut werden.
Die momentane Situation der EV-Zertifikate ist lamentabel. So können Phisher beispielsweise ein Unternehmen unter einem Namen registrieren, der einem bekannten Unternehmen verdächtig ähnlich ist und ein EV-Zertifikat für diese Website erhalten. Der bekannt klingende Firmenname wird in der Adressleiste der Phishing-Website in grüner Schrift angezeigt, was dem Ganzen noch mehr Glaubwürdigkeit verleiht. Daher sollten Benutzer auch bei dem Besuch scheinbar „sicherer“ Websites immer die Augen offen halten und diese Richtlinien befolgen.