So funktionieren digitale Zertifikate und HTTPS

Bedrohungen

Wenn wir uns mit HTTPS und digitalen Zertifikaten beschäftigen wollen, müssen wir eigentlich auch über Kryptographie sprechen – aber keine Angst, wir werden diesen Teil einfach überspringen. Eines sollten Sie aber wissen: Eine starke Verschlüsselung ist derzeit die beste Garantie für Sicherheit und Privatsphäre.

https_title_De

Bisher wurde uns immer erklärt, dass ein angezeigtes Vorhängeschloss im Browser bedeutet, dass die aufgerufene Seite mit HTTPS arbeitet und geschützt ist. Uns wurde lang und breit gesagt, dass HTTPS gleichbedeutend mit Sicherheit ist und wir immer sicherstellen sollten, dass in der Adresszeile des Browsers „https“ steht, bevor wir vertrauliche Informationen eingeben, vor allem, wenn es um Zahlungsdaten und Online-Banking geht. Aber was ist HTTPS?

HTTPS steht für Hypertext Transfer Protocol Secure.  Es ist die sicherer Variante des Hypertext Transfer Protocol, das wiederum die Basis des Datenverkehrs im World Wide Web ist. Im Grunde bedeutet die Verbindung mit einer Webseite per HTTPS (im Gegensatz zum normalen HTTP), dass alle Daten, die Sie mit dieser Seite austauschen, über eine verschlüsselte Verbindung übertragen werden, entweder über Transport Layer Security (TLS) oder seinen Vorgängen Secure Sockets Layer (SSL). HTTPS-Verbindungen werden durch ein kleines Vorhängeschloss in der Adresszeile des Browsers symbolisiert, oder einfach durch das ’s‘ nach ‚http‘ bei der Adresse der Seite.

Gut, HTTPS heißt also Verschlüsselung, und Verschlüsselung heißt Sicherheit. Doch abgesehen von der Verschlüsselung – woher weiß ich, dass ich wirklich mit der Person oder dem Service kommuniziere, mit dem ich kommunizieren möchte? Ich bin mir sicher, das haben auch Sie sich schon öfter gefragt. Wie kann man sicher sein, dass die geöffnete Seite, in die man sich gleich einloggt, nicht eine gut gemachte Fälschung ist? Wenn Sie zum Beispiel eine Sicherheitslösung von Kaspersky Lab kaufen, möchten Sie ja nicht, dass Ihre eingegebenen Zahlungsdaten an einen Hacker in Rumänien übertragen werden, anstatt zum Kaspersky-Online-Shop? Zudem wissen Sie auch nicht, ob jemand dritter die Datenübertragung abhört. Hier kommen die Zertifikate ins Spiel.

Sie können bei jeder Webseite die Adresse mit HTTPS eingeben. Wenn die Seite ein gültiges Zertifikat besitzt, wird der Server, auf dem die Seite gehostet wird, das Zertifikat an Ihren Browser übertragen (der Browser enthält eine Liste der vertrauenswürdigen Zertifikatsfirmen) und weiter werden Sie keine Unterschiede bemerken. Je nach Browser erscheint vielleicht ein Vorhängeschloss in der Adresszeile, das Sie anklicken können, um weitere Informationen über das Zertifikat und die ausgebende Zertifikatsfirma zu erhalten. Wenn Sie allerdings versuchen, die HTTPS-Version einer Seite zu öffnen, die kein gültiges Zertifikat besitzt, wird eine SSL-Warnung wie diese angezeigt werden:

Mit dieser Warnung sagt Ihnen der Browser einfach nur, dass er die Identität des Servers der Seite nicht verifizieren kann. Wahrscheinlich können Sie sich bereits denken, warum so ein Zertifikatssystem wichtig ist, wenn nicht, können Sie einfach kurz über Man-in-the-Middle-Angriffe lesen.

Jetzt haben Sie das grundlegende Verständnis für HTTPS und Zertifikate – und fragen sich vielleicht, wie die beiden zusammenhängen. Kurz gesagt, bedeutet HTTPS, dass die gesendeten Daten auf dem Weg sicher verschlüsselt sind, das digitale Zertifikat hingegen stellt sicher, dass die Daten auch dort ankommen, wo sie ankommen sollen.

Wie genau funktionieren solche Zertifikate? Ein digitales Zertifikat enthält identifizierende Informationen über die Webseite oder den Service für den das Zertifikat ausgestellt wurde, Informationen über den Aussteller des Zertifikats und die Gültigkeitsdauer, die das Ausstellungs- und Ablaufdatum des Zertifikats enthält, sowie eine einzigartige algorithmische Signatur. Diese Signatur ist der wichtigste Teil des digitalen Zertifikats. Denn die Signatur bestätigt, dass Sie genau  mit demjenigen kommunizieren, mit dem Sie das möchten, und dass die Kommunikation verschlüsselt übertragen wird.

Einfach gesagt, garantiert ein gültiges Zertifikat, dass Sie auch wirklich mit der Seite oder dem Service, den Sie aufgerufen haben, kommunizieren. Wenn Sie Zahlungsdaten, Login-Informationen oder andere Daten auf einer HTTPS-Seite eingeben, bestätigt Ihnen das Zertifikat, dass die Daten an die Person oder den Service gehen, der sie erhalten soll, und dass die Informationen auf dem ganzen Weg verschlüsselt sind. Wie Google erklärt, authentifizieren Zertifikate, ermöglichen Privatsphäre, verschlüsseln Daten und stellen – am wichtigsten – die Integrität, den Ursprung und das Ziel der Datenübertragung sicher.

Das letzte Teilstück des Puzzles, das wir noch erklären müssen, sind die Zertifikatsfirmen. Zahlreiche Organisationen verkaufen oder stellen digitale Zertifikate aus. Das sind die Zertifikatsfirmen. GoDaddy, VeriSign und Entrust sind drei der bekanntesten. Auch ich könnte mich jetzt sofort zu einer Zertifikatsfirma ernennen, und damit beginnen, Zertifikate zu verkaufen, wenn ich möchte. Das Problem wäre aber, dass niemand meinen Zertifikaten vertrauen würde. Das ist nämlich das Besondere an den Zertifikatsfirmen: Sie bringen nur etwas, wenn ihnen vertraut wird.

Und das Vertrauen baut auf eine Liste mit so genannten Root-Zertifikaten. Diesen wird standardmäßig von den meisten Browsern vertraut. Diese Root-Zertifikate können das Vertrauen auch auf andere Zertifikatsfirmen ausdehnen. Wenn nun ein Typ namens Larry Zertifikate ausstellt und gleichzeitig ein Root-Zertifikat besitzt, wird Ihr Browser jedem Zertifikat vertrauen, das Larry ausstellt. Darüber hinaus wird Ihr Browser aber auch jedem Zertifikat vertrauen, für das Larry bürgt. Es gibt wahnsinnig viele Zertifikatsfirmen und über Root-Zertifikate werden diese verifiziert. Wir lassen damit die (in etwa) 36 vertrauenswürdigen Zertifikatsfirmen entscheiden, welche anderen Zertifikatsfirmen ebenfalls als vertrauenswürdig gelten, und jeder ist glücklich und zufrieden. Nein, leider nicht.

Denn man muss leider sagen, dass das aktuelle System der digitalen Zertifikate recht kompliziert, verwirrend und kontrovers ist. Digitale Zertifikate, ihre Signaturen und die Zertifikatsfirmen, die für sie bürgen, bilden die Grundlagen für Online-Vertrauen und Online-Authentifizierung. Ironischerweise weiß jeder in der IT-Branche, dass das aktuelle Zertifikats- und Signatursystem hoffnungslos kaputt und äußerst unzuverlässig ist. Und trotzdem verlassen wir uns täglich bei Online-Zahlungen und der Online-Kommunikation darauf.

Sicherheitsvorfälle bei großen Zertifikatsfirmen wie DigiNotar und Comodo, sowie die Enthüllung, dass gleich zwei gefälschte Zertifikate für den Stuxnet-Virus bürgten, zeigten, wie dringend hier ein neues System benötigt wird. Der Sicherheitsforscher Moxie Marlinspike hat ein eigenes System namens „Convergence SSL“ als Lösung vorgeschlagen. Doch obwohl das System schon vor zwei Jahren auf der Black Hat Security Conference vorgestellt und von allen sehr positiv aufgenommen wurde, müssen wir uns immer noch auf das veraltete Zertifikatssystem verlassen. Wir nehmen einfach das Beste über die im Hintergrund arbeitenden Zertifikate an, während wir online kommunizieren und Geld ausgeben. Immer mal wieder hören wir dann über Sicherheitsvorfälle bei Zertifikatsfirmen, beklagen das Problem, und machen anschließend genau so weiter wie bisher, ohne etwas an dem System zu ändern.

Was können Sie also tun? Stellen Sie zumindest sicher, dass Sie im HTTPS-Modus arbeiten, wenn Sie auf Webseiten vertrauliche Daten eingeben – seien es Zahlungsinformationen, Login-Namen und Passwörter, oder sogar E-Mails. Darüber hinaus können Sie auf das angezeigte Vorhängeschloss oder das von Ihrem Browser verwendete HTTPS-Symbol klicken, um das Zertifikat der entsprechenden Webseite zu prüfen. Erfahrene Anwender können das Vertrauen für bestimmte Zertifikatsfirmen zurücknehmen, wenn diese gehackt werden. Das bedeutet, dass der Browser den Zertifikaten des entsprechenden Ausstellers oder den von ihm verbürgten Zertifikaten nicht mehr vertraut. Sollte eine Zertifikatsfirma kompromittiert werden, ist es am besten, das Vertrauen für diese Firma direkt in den Browser-Einstellungen auszuschalten. Machen Sie sich aber nicht zu viele Sorgen, denn Microsoft, Mozilla  und Google reagieren bei solchen Sicherheitsvorfällen sehr schnell und schalten die entsprechenden Vertrauenseinstellungen aus (über Apple können wir das leider nicht sagen). So lange Sie Ihren Browser immer aktuell halten und Sicherheits-Updates für das Betriebssystem installieren, sind Sie gut vor schädlichen oder gefälschten Zertifikaten geschützt.