Antrag für ein SSL-Zertifikat erstellen (Schritt 1)
Verarbeitung vertraulicher Daten – und jetzt?
Sie werden es sicherlich schon des Öfteren erlebt haben: In der Adreßzeile des
Browsers erscheint ein Schloßsymbol neben dem Verweis auf die angeforderte
Seite, welcher zudem noch mit https:// eingeleitet
wird.
Bei Online-Geschäften und Banktransaktionen ist dies gang und gäbe, aber in
zunehmendem Umfang tritt dies auch bei Seiten, die keine vertraulichen Daten
entgegennehmen, zu Tage, hier dann jedoch mit der Begründung, daß es niemanden
etwas anginge, was man auf der betreffenden Webseite triebe. Und auch hier auf
robidu.de werden Sie derlei feststellen, wenn Sie
auf bestimmten Seiten dieser Domain unterwegs sind, wie beispielsweise hier.
Was Sie hier nämlich vorliegen haben, ist eine verschlüsselte und gesicherte
Verbindung, die erstens abhörsicher und zweitens resistent gegenüber
Manipulationsversuchen ist.
Um ebendiese Merkmale einer verschlüsselten Verbindung zu gewährleisten,
kommen Zertifikate zum Einsatz, die die notwendigen Schlüssel bereitstellen, um
den Datenstrom zuwischen Ihrem Browser und dem Server der Webseite zu
verschlüsseln, sowie Informationen über den besuchten Server liefern. Damit
läßt sich auf einfache wie elegante Art und Weise herausfinden, womit Sie es zu
tun haben.
Mitlesen nicht erwünscht!
Geschäftliche oder behördliche Transaktionen sowie die Wahrung des
Briefgeheimnisses (ja, auch elektronische Post ist immer noch Post!) sind
sicherlich legitime Gründe für den Einsatz von Verschlüsselungstechnologien.
Schließlich werden hierbei Daten übermittelt, die definitiv niemanden sonst
als den Nutzer und ggf. die Gegenstelle etwas angehen. Allerdings gibt es
genügend Gauner und Schwachköpfe, die dies anders sehen und am liebsten alles
mitlesen wollen – der Sinn dahinter sei einmal dahingestellt – nur ist das bei
definitiv vertraulichen Transaktionen absolut fehl am Platze.
Demhingegen kann man bei Seiten, bei denen es nicht um vertrauliche, sondern um
öffentlich zugängliche Daten geht, argumentieren, daß mit dem Einsatz von
Kryptographie mit Kanonen auf Spatzen geschossen würde. Allerdings ist die
Begründung, daß es niemanden etwas anginge, was man auf besagten Seiten triebe,
natürlich auch nicht von der Hand zu weisen (Stichwort Privatsphäre), dennoch
stellt sich die Frage, ob es nicht etwas zuviel des Guten ist.
Verschlüsselung benötigt immer noch Rechenzeit, denn schließlich muß
der Datenstrom beim Absender ver- und beim Empfänger wieder entschlüsselt
werden. Zwar kann man argumentieren, daß dies durch immer leistungsfähige
Rechner kaum noch ins Gewicht fällt, doch die Verzögerung bleibt nun mal. Zudem
ruft eine verschlüsselte Verbindung zwangsläufig irgendwelche zwielichtige
Gestalten auf den Plan, die darüber versuchen auf dem fraglichen Server
einzubrechen, weil sie entweder irgendwelche vertrauliche Daten darauf
vermuten, die man zum Schaden der Betroffenen verwenden kann – oder sie
vermuten irgendwelche Steuerungs- oder Verwaltungssoftware für den Server, für
Blogs, o. ä., deren Schwachstellen sie ausnutzen könnten, um wiederum den
fraglichen Server zu knacken, damit er anschließend für irgendwelche illegale
Aktivitäten verwendet werden kann.
Außerdem gibt es nach meinem Dafürhalten weitaus größere Probleme für Ihre
Privatsphäre als eine unverschlüsselte Internetverbindung, und die hat sehr
viel mit auf Webseiten eingebundener Werbung und anderen verfolgenden Elementen
zu tun (was übrigens auch der Grund ist, weshalb Sie hier nichts dergleichen
finden werden). Wenn keinerlei vertrauliche Daten übermittelt werden, sollte
man an sich annehmen, daß eine Verschlüsselung unnötig sei, doch leider fährt
der Zug derzeit in eine ganz andere Richtung...
Selbst signiertes Zertifikat oder nicht?
Beide Varianten haben natürlich ihre Vor- und Nachteile. So kostet ein selbst
erstelltes und signiertes Zertifikat natürlich kein Geld, aber es tut seinen
Dienst i. d. R. genauso gut wie jedes von einer Zertifizierungsstelle
erworbenes Zertifikat. Der Nachteil ist jedoch, daß so etwas in den seltensten
Fällen vertrauenswürdig erscheint, und einer Seite mit selbst signiertem
Zertifikat, auf der vertrauliche Informationen übermittelt werden, wird daher
im Normalfalle mit sehr viel Argwohn begegnet – zumal ein Browser hier
normalerweise auf das Problem hinweisen und von einem Zugriff auf die Seite
abraten wird. Demhingegen ist ein solches Zertifikat ideal für Testzwecke sowie
das Unkenntlichmachen der Aktivitäten Ihrer Seitenbesucher geeignet.
Wenn Sie hingegen mit vertraulichen Daten arbeiten wollen, so ist eher zu einem
Zertifikat einer ausgewiesenen Zertifizierungsstelle zu raten. Dies kostet
zwar, abhängig vom Zertifikatstyp, mehr oder weniger Geld, doch erstens wird
sich der Browser hier nicht beschweren, und zweitens bestätigt die beauftragte
Zertifizierungsstelle mit dem Zertifikat, daß es sich auch tatsächlich um den
Server handelt, der er vorgibt zu sein, wenngleich bei den einfachen
Zertifikaten keinerlei Informationen über den Betreiber der Seite zur Verfügung
gestellt werden. Diese gibt es i. d. R. bei den mächtigeren Zertifikaten, doch
die kosten natürlich gleich erheblich mehr.
Domainvalidierung vs. Identitätsvalidierung vs. Erweiterte Validierung
Im einfachsten Fall wird bei der Erteilung eines Zertifikats die Domain, für
die das Zertifikat beantragt wird, überprüft. Dies läßt sich vergleichsweise
einfach durchführen, zumal der Prozeß größtenteils automatisiert stattfindet,
und geht i. d. R. innerhalb eines Werktags vonstatten.
Anders sieht es bei Zertifikaten aus, die auch die Identität des
Seitenbetreibers überprüfen – was bei Geschäftsleuten dringend anzuraten ist,
da es so gleich eine deutlich bessere Vertrauensbasis schafft. Allerdings
bleibt hier immer noch ein Problem übrig: SSL-Proxies.
Das, was sich auf den ersten Blick als harmlos darstellt, hat es in Wahrheit in
sich: Er kann eine SSL-Verbindung abfangen und entschlüsseln, bevor die Daten
erneut verschlüsselt und zu ihrem eigentlichen Ziel weitergeleitet werden
(nachzulesen
ist das Ganze auf grc.com). In diesem Fall helfen viele
Zertifikate leider nicht weiter, da Ihnen vorgegaukelt wird, daß Sie ohne
Zwischenstation mit der gewünschten Seite verbunden wären, die Sie besuchen
wollten, und auf den ersten Blick scheint alles in Ordnung zu sein. Bei
genauerem Hinsehen jedoch ergeben sich ganz schnell Unterschiede, insbesondere
im Vergleich der digitalen Fingerabdrücke der verwendeten Zertifikate. Das
getürkte Zertifikat wird zwangsläufig einen anderen Fingerabdruck aufweisen als
das der besuchten Seite, und auch hier kommt Ihnen grc.com
wieder zu Hilfe. Geben Sie auf der Seite, auf die vorstehend verwiesen wird,
die Adresse des gewünschten Servers ein und vergleichen Sie anschließend den
dort auf der Webseite ermittelten digitalen Fingerabdruck der gewünschten
Seite mit dem des Zertifikates, das Ihrem Browser präsentiert wird. Ergeben
sich hier Unterschiede, so läuft die verschlüsselte Verbindung über mindestens
einen SSL-Proxy.
Deutlich einfacher gestaltet sich diese ganze Angelegenheit im Zusammenhang mit
der Erweiterten Validierung, da sowohl der Firefox als auch der Chrome
definitiv nur dann signalisieren, daß alles in Ordnung ist, wenn die Verbindung
nicht abgefangen wird. Wenn der Browser ein Zertifikat präsentiert bekommt, das
eine Erweiterte Validierung beinhaltet, so erscheint links neben der
Seitenadresse ein grüner Kasten mit Schloßsymbol anstatt nur eines
Schloßsymbols, in dem der Inhaber des Zertifikats genannt wird. Da dies in den
genannten Browsern definitiv nicht gefälscht werden kann (beide sind Open
Source, so daß deren Quellcode von Jedermann eingesehen werden kann), wird
eine Seite, die über ein Zertifikat mit Erweiterter Validierung verfügt, den
grünen Kasten eben nicht anzeigen, wenn die Verbindung abgefangen wird, da dem
Browser ein vollkommen anderes Zertifikat präsentiert wird.
Wie sich Opera und Safari in diesem Fall verhalten, kann nicht hundertprozentig
nachvollzogen werden, da beide nicht quelloffen sind, jedoch ist derzeit davon
auszugehen, daß sie eine ähnliche Handhabung verwenden wie Firefox und Chrome.
Einzig der Internet Explorer fällt hier – mal wieder – negativ auf, da man mit
Hilfe eines Tools die Datenbank des IE so verändern kann, daß er Zertifikate,
die von einer beliebigen Zertifizierungsstelle signiert worden sind, als
Zertifikate mit Erweiterter Validierung darstellt und die Angabe der
Erweiterten Validierung in diesem Fall nicht aussagekräftig ist.
Mehr dazu
erfahren Sie auch wieder auf grc.com.