HauptthemenVerschlüsselte Webseiten
Eine Verschlüsselung funktioniert nach dem Schema:
- Es gibt einen geheimen Schlüssel, den nur der Empfänger einer Botschaft kennt.
- Es gibt einen öffentlichen Schlüssel, den jeder verwendet, der dem Empfänger etwas schicken möchte, sodass nur er es lesen kann. Dazu braucht der Empfänger seinen geheimen Schlüssel.
So kann man auch im Internet mit fremden Computern geheime Daten austauschen. Aber man braucht noch etwas: ein Zertifikat. Warum, das war mir nicht auf Anhieb klar. "Der Absender besorgt sich einfach den öffentlichen Schlüssel vom Empfänger und los geht's", dachte ich mir. Der Hund liegt darin begraben, dass der Absender nicht wissen kann, ob er wirklich den echten Schlüssel bekommt. Die Übertragung des Schlüssels könnte ja manipuliert sein! Um genau das auszuschließen, braucht man ein Zertifikat:
- Mittels Zertifikat bestätigt eine ausstellende Firma, dass der öffentliche Schlüssel zu dem Besitzer XY gehört.
- Wenn mir jetzt ein Hacker einen anderen Schlüssel unterschiebt, um meine Kommunikation mit meiner Bank abzuhören, würde das Zertifikat nicht mehr stimmen und mein Browser zeigt eine entsprechende Warnung an. Diese darf man daher nicht leichtfertig ignorieren!
Kritik
- Manche Zertifikatsaussteller überprüfen die Angaben gar nicht, bevor sie diese mit einem Zertifikat bestätigen. Damit wird die Verschlüsselung nahezu nutzlos.
- Wenn auf verschlüsselten Webseiten auch im Normalfall Zertifikatswarnungen erscheinen, dann trainiert man die Benutzer dazu, alle Warnungen zu ignorieren.
Pannen
- 2016: Ein neuer Anbieter von kostenlosen Zertifikaten vergab aufgrund von Sicherheitsmängeln auch Zertifikate für beliebige fremde Websites.
- 2014–
2016: Heartbleed- Bug – Eine gängige Programmbibliothek hatte eine schwere Sicherheitslücke, die das unbemerkte Ausspähen des geheimen Schlüssels über das Internet ermöglichte! - 2014: In Indien wurden vom staatlichen Zertifikatsaussteller falsche Google-
Zertifikate ausgestellt . - 2013: Ein türkischer Zertifikatsaussteller hat Zertifikate herausgegeben, mit denen beliebig viele weitere für beliebige Webserver erstellt werden können.
- 2012: Die niederländische Zertifizierungsstelle DigiNotar wurde gehackt und daraufhin wurden gefälschte Zertifikate im Iran zur Überwachung der Internetnutzer eingesetzt.
- 2006–
2008: Ein katastrophaler Fehler unter Debian- Linux bewirkte, dass von diesem Betriebssystem nur 65536 verschiedene geheime Schlüssel erzeugt wurden. Bei Websites, die solche Schlüssel einsetzten, war die Verschlüsselung somit leicht zu knacken.
Weiter
Weblinks
- Heise Newsticker:
- SSL-
Zertifikate nicht immer vertrauenswürdig , 21.4.2005 – Zertifikatsaussteller überprüfen nicht die generelle Vertrauenswürdigkeit einer Firma! - Warnmeldungen bei SSL-
Zertfikaten so gut wie nutzlos , 29.7.2009 – Werden nicht verstanden und weggeklickt.
- SSL-