{"id":1024,"date":"2013-05-07T07:11:32","date_gmt":"2013-05-07T07:11:32","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=1024"},"modified":"2020-02-26T18:22:45","modified_gmt":"2020-02-26T16:22:45","slug":"so-funktionieren-digitale-zertifikate-und-https","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/so-funktionieren-digitale-zertifikate-und-https\/1024\/","title":{"rendered":"So funktionieren digitale Zertifikate und HTTPS"},"content":{"rendered":"

Wenn wir uns mit HTTPS und digitalen Zertifikaten<\/strong> besch\u00e4ftigen wollen, m\u00fcssen wir eigentlich auch \u00fcber Kryptographie sprechen \u2013 aber keine Angst, wir werden diesen Teil einfach \u00fcberspringen. Eines sollten Sie aber wissen: Eine starke Verschl\u00fcsselung ist derzeit die beste Garantie f\u00fcr Sicherheit und Privatsph\u00e4re.<\/p>\n

\"https_title_De\"<\/a><\/p>\n

Bisher wurde uns immer erkl\u00e4rt, dass ein angezeigtes Vorh\u00e4ngeschloss im Browser bedeutet, dass die aufgerufene Seite mit HTTPS<\/a> arbeitet und gesch\u00fctzt ist. Uns wurde lang und breit gesagt, dass HTTPS gleichbedeutend mit Sicherheit ist und wir immer sicherstellen sollten, dass in der Adresszeile des Browsers \u201ehttps\u201c steht, bevor wir vertrauliche Informationen<\/strong> eingeben, vor allem, wenn es um Zahlungsdaten und Online-Banking geht. Aber was ist HTTPS?<\/a><\/p>\n

HTTPS steht f\u00fcr Hypertext Transfer Protocol Secure. \u00a0Es ist die sicherer Variante des Hypertext Transfer Protocol, das wiederum die Basis des Datenverkehrs im World Wide Web ist. Im Grunde bedeutet die Verbindung mit einer Webseite per HTTPS (im Gegensatz zum normalen HTTP), dass alle Daten, die Sie mit dieser Seite austauschen, \u00fcber eine verschl\u00fcsselte Verbindung \u00fcbertragen werden, entweder \u00fcber Transport Layer Security<\/strong> (TLS) oder seinen Vorg\u00e4ngen Secure Sockets Layer (SSL). HTTPS-Verbindungen werden durch ein kleines Vorh\u00e4ngeschloss in der Adresszeile des Browsers symbolisiert, oder einfach durch das \u2019s\u2018 nach \u201ahttp\u2018 bei der Adresse der Seite.<\/p>\n

Gut, HTTPS hei\u00dft also Verschl\u00fcsselung, und Verschl\u00fcsselung hei\u00dft Sicherheit. Doch abgesehen von der Verschl\u00fcsselung \u2013 woher wei\u00df ich, dass ich wirklich mit der Person oder dem Service kommuniziere, mit dem ich kommunizieren m\u00f6chte? Ich bin mir sicher, das haben auch Sie sich schon \u00f6fter gefragt. Wie kann man sicher sein, dass die ge\u00f6ffnete Seite, in die man sich gleich einloggt, nicht eine gut gemachte F\u00e4lschung ist? Wenn Sie zum Beispiel eine Sicherheitsl\u00f6sung von Kaspersky Lab<\/a><\/strong> kaufen, m\u00f6chten Sie ja nicht, dass Ihre eingegebenen Zahlungsdaten an einen Cyberkriminellen<\/strong> in Rum\u00e4nien \u00fcbertragen werden, anstatt zum Kaspersky-Online-Shop? Zudem wissen Sie auch nicht, ob jemand dritter die Daten\u00fcbertragung abh\u00f6rt. Hier kommen die Zertifikate ins Spiel.<\/p>\n

Sie k\u00f6nnen bei jeder Webseite die Adresse mit HTTPS<\/strong> eingeben. Wenn die Seite ein g\u00fcltiges Zertifikat besitzt, wird der Server, auf dem die Seite gehostet wird, das Zertifikat an Ihren Browser \u00fcbertragen (der Browser enth\u00e4lt eine Liste der vertrauensw\u00fcrdigen Zertifikatsfirmen) und weiter werden Sie keine Unterschiede bemerken. Je nach Browser erscheint vielleicht ein Vorh\u00e4ngeschloss in der Adresszeile, das Sie anklicken k\u00f6nnen, um weitere Informationen \u00fcber das Zertifikat und die ausgebende Zertifikatsfirma zu erhalten. Wenn Sie allerdings versuchen, die HTTPS-Version einer Seite zu \u00f6ffnen, die kein g\u00fcltiges Zertifikat besitzt, wird eine SSL-Warnung wie diese angezeigt werden:<\/p>\n

\"\"<\/p>\n

Mit dieser Warnung sagt Ihnen der Browser einfach nur, dass er die Identit\u00e4t des Servers der Seite nicht verifizieren kann. Wahrscheinlich k\u00f6nnen Sie sich bereits denken, warum so ein Zertifikatssystem<\/strong> wichtig ist, wenn nicht, k\u00f6nnen Sie einfach kurz \u00fcber Man-in-the-Middle-Angriffe<\/a> lesen.<\/p>\n

Jetzt haben Sie das grundlegende Verst\u00e4ndnis f\u00fcr HTTPS und Zertifikate \u2013 und fragen sich vielleicht, wie die beiden zusammenh\u00e4ngen. Kurz gesagt, bedeutet HTTPS, dass die gesendeten Daten auf dem Weg sicher verschl\u00fcsselt sind, das digitale Zertifikat hingegen stellt sicher, dass die Daten auch dort ankommen, wo sie ankommen sollen.<\/p>\n

Wie genau funktionieren solche Zertifikate? Ein digitales Zertifikat enth\u00e4lt identifizierende Informationen \u00fcber die Webseite oder den Service f\u00fcr den das Zertifikat ausgestellt wurde, Informationen \u00fcber den Aussteller des Zertifikats und die G\u00fcltigkeitsdauer, die das Ausstellungs- und Ablaufdatum des Zertifikats enth\u00e4lt, sowie eine einzigartige algorithmische Signatur. Diese Signatur ist der wichtigste Teil des digitalen Zertifikats. Denn die Signatur best\u00e4tigt, dass Sie genau \u00a0mit demjenigen kommunizieren, mit dem Sie das m\u00f6chten, und dass die Kommunikation verschl\u00fcsselt \u00fcbertragen wird.<\/p>\n

Einfach gesagt, garantiert ein g\u00fcltiges Zertifikat, dass Sie auch wirklich mit der Seite oder dem Service, den Sie aufgerufen haben, kommunizieren. Wenn Sie Zahlungsdaten, Login-Informationen oder andere Daten auf einer HTTPS-Seite eingeben, best\u00e4tigt Ihnen das Zertifikat, dass die Daten an die Person oder den Service gehen, der sie erhalten soll, und dass die Informationen auf dem ganzen Weg verschl\u00fcsselt sind. Wie Google erkl\u00e4rt, authentifizieren Zertifikate, erm\u00f6glichen Privatsph\u00e4re, verschl\u00fcsseln Daten und stellen \u2013 am wichtigsten \u2013 die Integrit\u00e4t, den Ursprung und das Ziel der Daten\u00fcbertragung sicher.<\/p>\n

Das letzte Teilst\u00fcck des Puzzles, das wir noch erkl\u00e4ren m\u00fcssen, sind die Zertifikatsfirmen. Zahlreiche Organisationen verkaufen oder stellen digitale Zertifikate aus. Das sind die Zertifikatsfirmen<\/strong>. GoDaddy, VeriSign und Entrust sind drei der bekanntesten. Auch ich k\u00f6nnte mich jetzt sofort zu einer Zertifikatsfirma ernennen, und damit beginnen, Zertifikate zu verkaufen, wenn ich m\u00f6chte. Das Problem w\u00e4re aber, dass niemand meinen Zertifikaten vertrauen w\u00fcrde. Das ist n\u00e4mlich das Besondere an den Zertifikatsfirmen: Sie bringen nur etwas, wenn ihnen vertraut wird.<\/p>\n

Und das Vertrauen baut auf eine Liste mit so genannten Root-Zertifikaten. Diesen wird standardm\u00e4\u00dfig von den meisten Browsern vertraut. Diese Root-Zertifikate k\u00f6nnen das Vertrauen auch auf andere Zertifikatsfirmen ausdehnen. Wenn nun ein Typ namens Larry Zertifikate ausstellt und gleichzeitig ein Root-Zertifikat besitzt, wird Ihr Browser jedem Zertifikat vertrauen, das Larry ausstellt. Dar\u00fcber hinaus wird Ihr Browser aber auch jedem Zertifikat vertrauen, f\u00fcr das Larry b\u00fcrgt. Es gibt wahnsinnig viele Zertifikatsfirmen und \u00fcber Root-Zertifikate werden diese verifiziert. Wir lassen damit die (in etwa) 36 vertrauensw\u00fcrdigen Zertifikatsfirmen entscheiden, welche anderen Zertifikatsfirmen ebenfalls als vertrauensw\u00fcrdig gelten, und jeder ist gl\u00fccklich und zufrieden. Nein, leider nicht.<\/p>\n

Denn man muss leider sagen, dass das aktuelle System der digitalen Zertifikate recht kompliziert, verwirrend und kontrovers ist. Digitale Zertifikate, ihre Signaturen und die Zertifikatsfirmen, die f\u00fcr sie b\u00fcrgen, bilden die Grundlagen f\u00fcr Online-Vertrauen und Online-Authentifizierung. Ironischerweise wei\u00df jeder in der IT-Branche, dass das aktuelle Zertifikats- und Signatursystem hoffnungslos kaputt und \u00e4u\u00dferst unzuverl\u00e4ssig ist. Und trotzdem verlassen wir uns t\u00e4glich bei Online-Zahlungen und der Online-Kommunikation darauf.<\/p>\n

Sicherheitsvorf\u00e4lle bei gro\u00dfen Zertifikatsfirmen wie DigiNotar und Comodo, sowie die Enth\u00fcllung, dass gleich zwei gef\u00e4lschte Zertifikate f\u00fcr den Stuxnet-Virus<\/strong> b\u00fcrgten, zeigten, wie dringend hier ein neues System ben\u00f6tigt wird. Der Sicherheitsforscher Moxie Marlinspike hat ein eigenes System namens \u201eConvergence SSL\u201c als L\u00f6sung vorgeschlagen. Doch obwohl das System schon vor zwei Jahren auf der Black Hat Security Conference vorgestellt und von allen sehr positiv aufgenommen wurde, m\u00fcssen wir uns immer noch auf das veraltete Zertifikatssystem verlassen. Wir nehmen einfach das Beste \u00fcber die im Hintergrund arbeitenden Zertifikate an, w\u00e4hrend wir online kommunizieren und Geld ausgeben. Immer mal wieder h\u00f6ren wir dann \u00fcber Sicherheitsvorf\u00e4lle bei Zertifikatsfirmen, beklagen das Problem, und machen anschlie\u00dfend genau so weiter wie bisher, ohne etwas an dem System zu \u00e4ndern.<\/p>\n

Was k\u00f6nnen Sie also tun? Stellen Sie zumindest sicher, dass Sie im HTTPS-Modus arbeiten, wenn Sie auf Webseiten vertrauliche Daten eingeben \u2013 seien es Zahlungsinformationen, Login-Namen und Passw\u00f6rter, oder sogar E-Mails. Dar\u00fcber hinaus k\u00f6nnen Sie auf das angezeigte Vorh\u00e4ngeschloss oder das von Ihrem Browser verwendete HTTPS-Symbol klicken, um das Zertifikat der entsprechenden Webseite zu pr\u00fcfen. Erfahrene Anwender k\u00f6nnen alle News in Bezug auf Computersicherheit<\/strong> verfolgen und das Vertrauen f\u00fcr bestimmte Zertifikatsfirmen zur\u00fccknehmen, wenn diese gehackt werden. Das bedeutet, dass der Browser den Zertifikaten des entsprechenden Ausstellers oder den von ihm verb\u00fcrgten Zertifikaten nicht mehr vertraut. Sollte eine Zertifikatsfirma kompromittiert werden, ist es am besten, das Vertrauen f\u00fcr diese Firma direkt in den Browser-Einstellungen<\/a> auszuschalten. Machen Sie sich aber nicht zu viele Sorgen, denn Microsoft, Mozilla \u00a0und Google reagieren bei solchen Sicherheitsvorf\u00e4llen sehr schnell und schalten die entsprechenden Vertrauenseinstellungen aus (\u00fcber Apple k\u00f6nnen wir das leider nicht sagen<\/a>). So lange Sie Ihren Browser immer aktuell halten und Sicherheits-Updates f\u00fcr das Betriebssystem installieren, sind Sie gut vor sch\u00e4dlichen oder gef\u00e4lschten Zertifikaten<\/strong> gesch\u00fctzt.<\/p>\n","protected":false},"excerpt":{"rendered":"

Wenn wir uns mit HTTPS und digitalen Zertifikaten besch\u00e4ftigen wollen, m\u00fcssen wir eigentlich auch \u00fcber Kryptographie sprechen \u2013 aber keine Angst, wir werden diesen Teil einfach \u00fcberspringen. Eines sollten Sie<\/p>\n","protected":false},"author":42,"featured_media":1025,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[436,437,438,371,439],"class_list":{"0":"post-1024","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-digitale-zertifikate","9":"tag-https","10":"tag-signaturen","11":"tag-ssl","12":"tag-tls"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/so-funktionieren-digitale-zertifikate-und-https\/1024\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/digitale-zertifikate\/","name":"Digitale Zertifikate"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/1024","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=1024"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/1024\/revisions"}],"predecessor-version":[{"id":22466,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/1024\/revisions\/22466"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/1025"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=1024"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=1024"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=1024"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}