Zertifikate

Aus Siwecos
Wechseln zu: Navigation, Suche

in Arbeit!


Das Digitale Zertifikat


Wiki zertifikat.png

Ein digitales Zertifikate sorgt für Sicherheit im Internet und dient als Verifizierung für Computer und Organisationen. Im normalen Leben ist ein Zertifikat vergleichbar mit dem Personalausweis bzw. einer schriftlichen Beglaubigung und stellt einen sicheren Datenaustausch zwischen zwei Punkten sicher. Ein Zertifikat wird von einer offiziellen vertrauenswürdigen Institution verifiziert und ist damit nicht fälschbar. Der Standard X.509 spezifiziert in Zertifikaten u.a folgende Pflichtangaben: Die Versionsnummer, die Seriennummer, den Namen des Zertifikatsinhabers, Zertifizierungsstelle, die Gültigkeitsdauer, Seriennummer, Informationen zum öffentlichen Schlüssel, eindeutige Aussteller-ID, eindeutige Inhaber-ID, Erweiterungen und die Digitale Signatur der Zertifizierungsstelle mehr>>. Zertifikate bestätigen also die Echtheit des Absenders bzw. die Authentizität einer Website, welche "https" als Verschlüsselung zur sicheren Datenübertragung verwendet. Institut für Telematik: Visualisierung zur SSL-Verschlüsselung>>

Für den Anwender zeigt sich ein SSL-Zertifikat mit folgenden Merkmal: Der Abkürzung HTTP in der Adresszeile des Browser wird ein "S" angefügt (HTTPS) bzw. das HTTPS ist grün und ein Schloss ist vorangestellt. Je nach Variante des Zertifikats ist zudem die Adresszeile grün gefärbt.


Wofür braucht man digitale Zertifikate?

Die normalen Kommunikationsmethoden im Internet wurden unter der Maßgabe entwickelt, technisch robust und dennoch einfach zu sein. Die heutigen Anforderungen sicherer Kommunikation standen anfangs nicht zur Diskussion. Das hat leider zur Folge, dass es relativ einfach ist, über das Internet versendete Daten zu manipulieren bzw. sicher zu stellen, dass Daten tatsächlich vom angegebenen Absender stammen oder nur zum angegebenen Adressaten gelangen. Dies öffnet Manipulationen Tür und Tor und macht diese Art der Kommunikation nicht eben vertrauenswürdig.

Spk zerti.png

Ein Beispiel: Wird der Internetauftritt der Sparkasse bzw. wie von vielen öffentlichen Einrichtungen besucht, zeigt z.B. der Firefox-Browser ein grünes Feld bzw. bei anderen Browsern ein grünes Schloss neben der Adresszeile an. Das bedeutet für den Seitenbesucher, dass für diese Verbindung ein geprüftes Zertifikat eingebunden ist.


Wie funktioniert ein Zertifikat?

Ein Zertifikat enthält wie schon gesagt, u.a. eindeutige Informationen über den Service bzw. Webseite. Dennoch ist die Signatur der wichtigste Teil eines Zertifikates. Diese stellt sicher, dass die Kommunikation verifiziert und zudem verschlüsselt über das Internet mit dem Gegenüber stattfindet. (übertragene Daten wie Login, Zahlungsdaten, persönliche Daten werden verschlüsselt z.B. an die Sparkasse übertragen)

Digitale Zertifikate beruhen auf einem "Public-Key-Verfahren" und arbeitet mit öffentlichen und privaten Schlüsseln. Der private Schlüssel (nur dem Benutzer bekannt) wird verwendet, um eine digitale Unterschrift zu erstellen. Der öffentliche Schlüssel dient dazu, die digitale Unterschrift zu verifizieren. Um eine Botschaft verschlüsselt zu übertragen, werden beide Schlüssel benötigt. Beispiel: Bei Erstellung einer Nachricht wird diese mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Nur der berechtigte Empfänger und Inhaber des entsprechenden privaten Schlüssel, kann die Nachricht wieder entschlüsseln und öffnen.


Verschiedene Varianten bei Zertifikaten

Zertifikate werden grob unterschieden in: Stärke der Verschlüsselung (Standard: 128 Bit / 256 Bit); Domain- oder Identitätsvalidiert; Browserkompatibilität bzw. Akzeptanz; Zertifikatsart (Single, Wildcard, Multidomain)


1. Domain Validation: Die Domain Validation ist am meisten verbreitet und eignen sich für kleinere Webseiten, Intranets, Blogs und Mailserver. Über eine schnelle Überprüfung ob der Antragsteller auch der Inhaber der Webseite ist, kann ein DV-Zertifikat innerhalb weniger Minuten ausgestellt werden. Durch Klick auf das Schloss vor der Internetadresse wird der Domainname der Seite angezeigt.


2. Organisation Validation: Ein OV-Zertifikat verifiziert die Echtheit einer Organisation oder eines Unternehmens. Für das Ausstellen eines OV-Zertifikats wird ein Unternehmen zunächst einem Validierungsprozess unterzogen. Hier werden von der Zertifizierungsstelle die Existenz des Unternehmens mittels staatlicher Unternehmensregister, Onlineverzeichnissen und telefonischen Kontakt überprüft. Sobald die Website per OV-Zertifikat gesichert ist, sehen Besucher der Webseite, dass bekannte Schloss-Symbol neben der Adressleiste im Browsers. Hauptsächlich in Webshops, Unternehmensseiten und Webmail im Einsatz.


3. Extended Validation: EV-Zertifikate stehen für eine erweiterte Überprüfung, gelten derzeit als sicherste und vertrauenswürdigste Lösung für die weltweit führenden Online-Unternehmen. Optisch unterscheidet sich die Webseite mit einem EV-Zertifikate über die grünen Browser-Adresszeile zu den beiden anderen Zertifikaten.


Wer stellt Zertifikate aus, welche Anbieter gibt es

Wenn man jetzt denkt, Zertifikate werden nur von einer Stelle ausgestellt, der irrt hier. Wie in unserem Beispiel der Sparkasse Köln/Bonn, wurde das Zertifikat von der Symantec Corporation ausgestellt und gehört zu den größten und bekanntesten Ausstellern von Zertifikaten im Internet. Wer sich ein Zertifikat zulegen möchte, findet im Internet reichlich Auswahl an Zertifizierungsstellen (certificate authority, CA) und hat damit die Qual der Wahl.

Eine Alternative sind selbst ausgestellte SSL-Zertifikate, die allerdings dann nicht von einer Zertifizierungsstellen unterschrieben werden, sondern vom Ersteller selbst. Hierbei ist dann Folgendes zu beachten:

1. Browser reagieren auf selbst ausgestellte SSL-Zertifikate mit einer Warnmeldung, da sie über keine Unterschrift einer bekannten CA verfügen. Jeder Browser wird mit einer Liste von CA-Zertifikaten ausgeliefert – die Liste von Firefox lässt sich online einsehen.

2. Ganz umsonst sind diese Browser Warnmeldungen jedoch nicht, sondern sollen eigentlich sicherstellen, dass niemand die verschlüsselte Verbindung abhören bzw. umleiten kann. Ein Zertifikatsfehler bzw. die Warnmeldung erscheint auch dann, wenn ein Angreifer einen [Man-in-the-middle-Angriff https://de.wikipedia.org/wiki/Man-in-the-middle-Angriff] durchführt. Dadurch wäre er in der Lage die Anmeldedaten im Klartext mitzuschneiden.

Abgerufen von „https://www.siwecos.de/wiki/index.php?title=Zertifikate&oldid=2748