Basiswissen (Hintergrundwissen) - sInternet - Sicheres Internet

HTTPs bietet die Möglichkeit der verschlüsselten Verbindung zwischen dem Client, meist ein Internet-Browser, und dem ausliefernden Web- / Server. Diese Verschlüsselung ermöglicht die geschützte Übertragung der Daten zwischen Server und Client, so daß im Netzwerk, also auch dem Internet, die Daten von dritten nicht gelesen werden können.

Neben der durch SSL realisierten Verschlüsselung, ist dafür (mindestens) auf der Serverseite ein Zertifikat notwendig, welches diesen gegenüber dem Client authentifiziert, also die Identität bestätigt. Das Zertifikat kann einem die Gewissheit verschaffen, daß der Server, mit dem man eine verschlüsselte Verbindung aufgebaut hat, auch der Server ist, von dem man schützenswerte Daten erhalten, oder an ihn übergeben möchte. Schützenswert bezieht sich hierbei auf den Wunsch, daß die Daten nicht von anderen gelesen werden können, und so weder für andere erfahrbar, noch veränderbar sind.

Gibt man im Internet-Browser eine Adresse beginnend mit »https« ein, liefert der angesprochene Server sein Zertifikat (Serverzertifikat) an den Client beziehungsweise Internet-Browser aus (zur Vereinfachung verbleiben wir allgemein bei dem Begriff Client) Das Zertifikat enthält unter anderem Informationen über:

• den Aussteller und gegebenenfalls den Signierer (CA)
• die Dauer der Zertifikats-Gültigkeit
• die Serveradresse

Der Client prüft nun:

• ist der Aussteller bekannt / vertrauenswürdig, oder ist das Zertifikat von einer vertrauenswürdigen CA signiert?
• ist das Zertifikat noch gültig?
• ist die „ausliefernde“ Adresse identisch mit der im Zertifikat angegebenen Adresse?

Der Benutzer bekommt an dieser Stelle ein entsprechendes Fenster angezeigt:

Fehlendes Bild
Zertifkatsabfrage_IE

Fehlendes Bild
Zertifkatsabfrage_FF

In dieser Form werden die meisten Zertifikatsinformationen angezeigt. Und genau an dieser Stelle liegt das Problem, dass HTTPs im Zweifelsfall unsicher macht. Die meisten Benutzer machen sich nicht die Mühe, diese Zertifikate zu prüfen, sondern „nicken“ sie mit einem Klick auf »OK« ab. Dabei bieten die Zertifikate, die nicht alle Prüfungen mit »OK« bestehen, eben keine Sicherheit, die HTTPs an dieser Stelle ermöglichen würde. Im obigen Beispiel sind die drei Prüfpunkte gut zu erkennen:

• Das Sicherheitszertifikat wurde von einer Firma ausgestellt ...

In unserem Fall bedeutet es, daß das vorgezeigte Zertifikat nicht von einer im Internet-Browser bekannten vertrauenswürdigen CA signiert wurde. Abhilfe schafft hier, sofern das Zertifikat richtig und zutreffend ist, das zugehörige CA-Zertifikat im Browser zu importieren (dazu später mehr).

• Das Datum des Sicherheitszertifikat ...

Zertifikate werden in der Regel zeitbegrenzt signiert. Das hat grob gesagt zwei Gründe: Zum einen sind die Kosten für ein Zertifikat nicht nur von der Verwendung sondern auch vom Zeitraum abhängig, zum anderen macht es keinen Sinn ein unendlich gültiges Zertifikat zu erstellen, wenn es vielleicht in drei Jahren gar nicht mehr benötigt wird, was auch vor späteren Mißbrauch schützt.

• Der auf dem Sicherheitszertifikat angegebene Name ist ...

In einem Serverzertifikat ist immer der Rechnername angegeben. Da sich pro IP-Adresse nur ein Zertifikat verwenden läßt, ist der Name also eindeutig zuzuordnen. Ändert sich der Hostname (www ist auch nur ein Hostname), oder wird das Zertifikat auch für andere Sub- / Domain oder Hostnamen verwendet, kommt es zu einer Fehlermeldung.

Bei einem Erstkontakt sollte man generell das Zertifikat prüfen, insbesondere, wenn nicht alle Prüfpunkte in Ordnung sind:

Fehlendes Bild
Zertifkat_ueberpruefen_IE

Fehlendes Bild
Zertifkat_ueberpruefen_FF

Über Zertifikat anzeigen / überprüfen kann man sich entsprechende Einzelheiten anzeigen. Im hier angezeigten Beispiel ist die CA CACert noch nicht als vertrauenswürdig eingetragen. Über den Button »Zertifikat installieren« oder die Auswahl »Zertifkat immer akzeptieren« kann man diese CA als vertrauenswürdig einstufen. Entscheidend ist dabei, dass ab diesen Zeitpunkt alle von dieser CA signierten Zertifikate als vertrauenswürdig gelten.

Absolute Vorsicht ist geboten, wenn solch eine Meldung später, also nach mehreren „sauberen“ Kontakten zu den Server auftreten. In so einem Fall ist der Zertifikat mit Mißtrauen zu prüfen, insbesondere bei wichtigen Servern sollte man im Zweifelsfall mit dem Serverbetreiber Kontakt aufnehmen.

Es ist natürlich auf diesem Wege auch möglich sicherzustellen, dass nur erlaubte, beziehungsweise authentizierte Clients mit dem Server Daten austauschen. In diesem Fall kommen Clientzertifikate zum Einsatz. Dafür werden entsprechende Clientzertifikate erstellt, diese werden von einer CA signiert und im Internet-Browser (Anwendung) importiert. Bei einem Verbindungsaufbau verlangt der Server vom Client das Zertifikat. Bekommt er vom Client das Zertifikat ausgeliefert, prüft er dessen Echtheit und Gültigkeit. Der Server selbst muss dafür natürlich das Zertifikat der signierenden CA besitzen, um Clientzertifikat prüfen zu können. Ist die Authentizität bestätigt, wird Verbindung aufgebaut und der Datenaustausch kann beginnen.