Digitale Zertifikate sind aus dem heutigen Internet nicht mehr weg zu denken und in Ihrer Bedeutung für sicheres Surfen und Arbeiten über das Internet kaum zu überschätzen. Sie sind allgegenwärtig. Da sie aber im Hintergrund arbeiten, sind sich ihrer nur wenige User bewusst. Noch viel weniger User wissen, was digitale Zertifikate sind und wie sie funktionieren. Wissen Sie es?
In diesem Wissensartikel nehmen wir Zertifikate und deren Bedeutung unter die Lupe. Dazu versuchen wir die wichtigsten W-Fragen zu beantworten.
- Was sind Zertifikate?
- Wozu benötigt man Zertifikate?
- Wie funktionieren Zertifikate?
- Woran erkennt man, dass ein Zertifikat genutzt wird und vertrauenswürdig ist?
- Was soll man bei einer Webseite ohne beglaubigtes Zertifikat machen?
- Wo befindet sich die Liste der Zertifizierungsstellen?
- Wie kann man sich ein Zertifikat ansehen?
Was sind Zertifikate?
Ein digitales Zertifikat ist ein digitaler Datensatz, der bestimmte Eigenschaften von Personen oder Objekten bestätigt und dessen Authentizität und Integrität durch kryptografische Verfahren geprüft werden kann (Quelle: Gabler Wirtschaftslexikon). Wem diese sehr formelle Definition zu kompliziert ist, für den macht es die folgende Erklärung wohl einfacher: Ein digitales Zertifikat kann man sich als digitalen Ausweis vorstellen, der der Identifizierung des Zertifikatinhabers dient und der Informationen über den Zertifikateinhaber sowie dessen -aussteller enthält.
Diese allgemeine Definition von Zertifikaten läßt unterschiedliche Zertifikateformen zu. Ein Beispiel für ein Zertifikat aus dem Alltagsleben sind die QR-Codes auf online gekauften Bahntickets. Sie identifizieren den Reisenden und dessen Reiseroute. Per Abgleich mit der BahnCard oder dem Personalausweis wird dann sichergestellt, dass der gebuchte Reisende im Zug sitzt.
In der Informationstechnologie (IT) sind mit Zertifikaten meist Public-Key-Zertifikate gemeint. Ein Public-Key-Zertifikat ist ein Zertifikat, das genutzt wird, um den Eigentümer eines öffentlichen Schlüssels (englisch: public key) zu bestätigten. Ein solches Zertifikat enthält
- Informationen über die Identität des Schlüsselinhabers,
- Informationen über den Schlüssel selbst und
- die digitale Signatur einer Person oder Organisation, die die Korrektheit des Zertifikatsinhalts bestätigt.
Wenn der Zertifikats dem Zertifikatsaussteller vertraut, dann wird die Identität bestätigt und über den ausgetauschten öffentliche Schlüssel kann verschlüsselt kommuniziert werden. Public-Key-Zertifikate erfüllen also zwei Funktionen: Zum einen Authentifizieren Sie den Sender eines Zertifikats und zum anderen stellen sie einen öffentlichen Schlüssel für eine verschlüsselte Verbindung bereit.
Jenachdem werden die Korrektheit des Zertifikatinhalts bestätigt, unterscheidet man zwischen Zertifikaten, die durch unabhängige Zertifizierungsstellen ausgestellt wurden, und sogenannten selbst signierten Zertifikaten. Für die Verschlüsselung der Daten von großen Webseiten kommen in den meisten Fällen Zertifikate von anerkannten Zertifizierungsstellen zur Anwendung. Solche Zertifikate werden von Browsern automatisch als vertrauenswürdig eingeschätzt. So erklärt sich auch, dass der Nutzer von Ihnen gar nichts mit bekommt. Selbst erstellte Zertifikate werden vor allem von Unternehmen im internen Netzwerkverkehr oder von Privatpersonen eingesetzt. Da Browser sie zunächst immer als “nicht vertraueneswürdig” einstufen, muss man diese explizit akzeptieren. Erst danach kann verschlüsselt kommuniziert werden.
Umgangssprachlich werden elektronische Signaturen häufig auch als digitale Signaturen und somit als Zertifikate bezeichnet. Dies ist nicht korrekt. Der Zertifikats-Begriff stammt aus dem technischen Bereich, wohingegen die elektronische Signatur ein rechtlicher Begriff ist. Elektronische Signaturen sind das digitale Gegenstück zur handschriftlichen Signatur. Sie kommen zur Anwendung, wenn Dokumente elektronisch versendet und dennoch nachprüfbar vom Absender unterzeichnet werden sollen (z.B. bei Verträgen). Die elektronische Signatur identifiziert den Absender und bestätigt die Authentizität. Ein Scan der eigenen Unterschrift ist somit keine digitale Signatur.
Wozu benötigt man Zertifikate?
Beim ersten Schritt, dem Authentifizieren verhalten sich Zertifikate, wie das digitale Äquivalent zu einer schriftlichen Beglaubigung. Das Zertifikat bestätigt dabei die Identität einer Person bzw. eines Unternehmens mittels eines asymmetrischen Schlüssels. Das Zertifikat stellt somit sicher, dass die Person/das Unternehmen tatsächlich die Person/das Unternehmen ist, für die/das es sich ausgibt.
Zertifikate ermöglichen, durch den kryptographischen Aspekt, den Aufbau von verschlüsselten Verbindungen und somit die Übertragung von Daten und Informationen, ohne dass sie von dritten unterwegs mitgelesen werden können. Zu der verschlüsselten Verbindung kommt, dass Ihre Daten zusätzlich verschlüsselt werden. Durch das Verschlüsseln Ihrer, über das Internet, gesendeten Daten und der verschlüsselten Verbindung, wird es Fremden erschwert eventuell abgefangene Daten auszulesen.
Das Beispiel Online Banking bietet sich an, um die Konsequenzen des Fehlens von Zertifikaten darzustellen: Sie verbinden sich mit der Webseite Ihrer Bank und schauen sich Ihre Kontoauszüge an, ohne dass eine gesicherte Verbindung aufgebaut ist. Dann kann jeder, der ein wenig Ahnung vom PC hat, Ihre über das Internet gesandten Daten mitschneiden. Das heißt, die mitschneidende Person hat Zugang zu Ihren Kontoauszügen, genauso wie zu Ihrem Login bei der Bank und Ihre persönlichen Kontoinformationen. Und es wird noch schlimmer: Nachdem Sie Ihre Kontoauszüge angesehen haben, nehmen Sie noch eine Überweisung vor. Sie werden nach Ihrer TAN gefragt und nachdem Sie diese eingegeben und bestätigt haben wird Ihnen gesagt, dass die TAN ungültig ist. Was ist passiert? Jemand hat Ihre TAN abgefangen und kann nun über Ihr Bankkonto eine Überweisung tätigen. Ihr ganzes Geld wird von Ihrem Konto auf ein anderes verschoben. Das wollen Sie mit Sicherheit nicht.
Um eben dies zu vermeiden, muss eine sichere Verbindung zum Bank Server hergestellt werden.
Wie funktionieren Zertifikate?
Zertifikate arbeiten mit Hilfe eines Schlüsselpaares: einem öffentlichen Schlüssel und einem privaten Schlüssel. Der öffentliche Schlüssel ist in jedem Zertifikat enthalten und somit jedem Browser, der das Zertifikat gespeichert hat bekannt. Den Privaten Schlüssel besitzt nur der Inhaber des Zertifikats, zum Beispiel die Bank. Um die Funktionsweise von Zertifikaten und das Zusammenspiel von öffentlichem und privaten Schlüssel zu verdeutlichen, schauen wir uns kurz an, was beim Aufruf des Online Bankings Ihrer Bank passiert bzw. passieren sollte.
Um eine sichere Verbindung aufzubauen, teilt Ihr Browser dem Webserver der Bank mit, dass er kommunizieren möchte. Der Webserver antwortet Ihrem Browser, indem er ihm sein Zertifikat, inklusive seines öffentlichen Schlüssels, sendet. Der Browser gleicht das Zertifikat ab, mit der Liste der Vertrauenswürdigen Authentifizierungsstellen. Erkennt Ihr Browser das Zertifikat als vertrauenswürdig an, erzeugt Ihr Browser einen Sitzungsschlüssel, der mit dem öffentlichen Schlüssel der Bank verschlüsselt wird. Dieser Sitzungsschlüssel wird anschließend an den Webserver der Bank übertragen. Mit dem privaten Schlüssel, der im Besitz der Bank ist, wird der Sitzungsschlüssel entschlüsselt und eine sichere Verbindung zwischen Ihrem Browser und dem Webserver der Bank hergestellt. Ab diesem Zeitpunkt werden alle Informationen verschlüsselt gesendet. Alle gesendeten Daten werden mit dem Sitzungsschlüssel verschlüsselt und an den Webserver der Bank geschickt. Bei jeder Neuanmeldung auf der Webseite Ihrer Bank wird ein neuer Sitzungsschlüssel erstellt (siehe Abbildung).
Woran erkennt man, dass ein Zertifikat genutzt wird und vertrauenswürdig ist?
Wenn eine Webseite ein Zertifikat zur Verschlüsselung des Webtraffics verwendet, erkennt man das daran, dass vor der Webadresse ein „https://“ steht (HTTPS, Hypertext Transfer Protocol Secure). HTTPS steht damit für die sichere Variante des HTTP, welches nur unverschlüsselte Informationen überträgt und verarbeitet.
Die Authentifizierung und Verschlüsselung erfolgt bei HTTPS über Zertifikate, die mit dem TLS-Protokoll, welches unter seinem alten Namen SSL wohl eher bekannt ist, erstellt wurden. Mit der Authentifizierung, der Signatur des unterzeichnenden Unternehmens, erkennt der Browser die Echtheit des Zertifikates an und verschlüsselt Ihre Daten und die Verbindung zum Webserver des Zertifikatsinhabers. Diese Authentifizierungsmethode ist dem PGP (Pretty Good Privacy) Prinzip ähnlich. Das PGP Prinzip besagt, hat eine Person das Zertifikat unterschrieben die ich kenne, ist das Zertifikat echt. Wenn man dies in die analoge Welt holt, bedeutet das, ist der Brief den Sie bekommen von Ihrem Bekannten unterschrieben, werden Sie dem Brief eher trauen. (Wenn Sie mehr über das PGP Prinzip wissen möchten, lesen Sie doch unseren Wissensartikel E-Mail Verschlüsselung „E-Mail made in Germany“ vs. Thunderbird+PGP).
Sicher bedeutet aber nicht gleich vertrauenswürdig. Ob ein Zertifikat vertrauenswürdig ist, erkennt Ihr Browser automatisch. Dazu bekommt jeder Browser eine Liste mit Zertifikatsstellen, denen er vertrauen kann. Steht also vor der Webadresse ein „https://“ ist dies ein Zeichen dafür, dass die Webseite sicher ist. Ein weiteres Zeichen ist, dass vor dem „https://“ ein Schloss ist, welches unverschlüsselten Webseiten fehlt (siehe Abbildung).
Leider ist es gar nicht so schwer ein Zertifikat zu fälschen, in diesem Jahr war Google Opfer von gefälschten Zertifikaten. Allerdings fallen solche gefälschte Zertifikate selten auf, dass diese nur selten auffallen liegt daran, dass es weit über hundert Zertifizierungsstellen (Certification Authorites, CA) gibt. Und als ob das noch nicht reichen würde, um es unübersichtlich zu machen, gibt es noch zahllose Unter-CAs. Diese Unter-CAs sind berechtigt und in der Lage, im Namen der Haupt-CAs zu unterzeichnen. Diese Unter-CAs genießen ein völlig unbeschränktes Vertrauen. So kann zum Beispiel die Firma TürkTrust gültige Zertifikate auf den Namen der Deutschen Bank ausstellen. Auch die chinesische Firma CNNIC darf Zertifikate ausstellen zum Beispiel für Google. Deren Unter-CA, MCS Holding, hat massenhaft gefälschte Zertifikate in Umlauf gebracht, womit es der Chinesischen Regierung möglich war, auf Ihrer großen Firewall, den Google-Mail-Verkehr seiner Untertanen zu überwachen. Das diese Zertifikate Google trotzdem aufgefallen sind liegt an der neuen Methode des „Certificate Pinning“. Bei dieser Methode wird dem Browser die Information mitgegeben wie zum Beispiel ein Google Zertifikat auszusehen hat und wer dieses Zertifikat unterzeichnen darf.
Was soll man bei einer Webseite ohne beglaubigtes Zertifikat machen?
Nicht beglaubigte Zertifikate kommen immer wieder vor und sind nicht generell schlecht. Wie bereits unter „Was sind Zertifikate?“ erwähnt, setzen viele kleine Unternehmen oder Privatpersonen auf selbst erzeugte Zertifikate (siehe Abbildung), welche nicht von einer Zertifizierungsstelle erzeugt wurden. Diese nicht beglaubigten Zertifikate funktionieren genauso wie die beglaubigten Zertifikate. Trotzdem darf man nicht blind allen Zertifikaten Vertrauen schenken. Sollte zum Beispiel Ihre Banking Webseite auf einmal nachfragen, ob Sie dem Zertifikat vertrauen möchten, sollten alle Alarmglocken angehen. Dann sollten Sie sich schnellstmöglich Hilfe suchen. Wir von ionas haben dabei recht viel Erfahrung, da wir selbst mit Zertifikaten arbeiten.
Wo befindet sich die Liste der Zertifizierungsstellen?
Mit jedem Browser werden die vertrauenswürdigen Zertifikatsstellen, bei der Installation, mitgeschickt. Nur wenn der Browser die vertrauenswürdigen Zertifikatsstellen besitzt, kann er die Identität der Zertifikate verifizieren, die vom Webserver des jeweiligen Unternehmen übermittelt werden. Generell werden alle Zertifikate gespeichert egal ob selbst erstellt oder nicht. Natürlich können Sie sich diese Zertifizierungsstellen ansehen. Dazu gehen Sie in die Zertifikatsverwaltung des jeweiligen Browsers. In Firefox zum Beispiel finden Sie diese, indem Sie oben rechts auf die drei Waagerechten Balken klicken anschließend auf „Erweitert“ und dort auf „Zertifikate“. Mit Zertifikate anzeigen sehen Sie die Liste der Zertifikatsstellen, denen Firefox vertraut. (siehe Abbildung)
Wie kann man sich Zertifikate ansehen?
Um sich ein Zertifikat anzusehen, gibt es unterschiedliche Wege. Der erste Weg ist über die Zertifikatsverwaltung des jeweiligen Browsers (siehe „Wo befinden sich die Zertifikate?). Der zweite Weg ist beim Besuch einer sicheren Webseite. Nach dem Verbindungsaufbau wird Ihnen in der Adresszeile ein kleines Schloss eingeblendet. Dieses muss zwangsläufig geschlossen sein, da sonst ist es keine sichere Verbindung über HTTPS besteht. Mit Klick auf dieses Schloss werden Ihnen allgemeine Informationen zu der Verbindung angezeigt. Bei jedem Browser haben Sie auch die Möglichkeit, sich erweiterte Informationen zu dem verwendeten Zertifikat anzeigen zu lassen. Die folgende Grafik zeigt z.B. das Zertifikat von https://www.ionas.com
Fazit
Ohne Zertifikate ist ein sicherer Aufbau zu einer Webseite nicht möglich. Stellen Sie also sicher, dass ein „https://“ vor der Webadresse steht, bei der Sie vertrauliche Daten eingeben möchten. Sollten Sie auf Ihrer Banking Webseite plötzlich gefragt werden, ob Sie dem Zertifikat der Bank vertrauen möchten, dann lehnen Sie dies ab. Die Wahrscheinlichkeit, dass die Webseite korrumpiert ist, ist in solchen Fällen sehr hoch. Oftmals verwenden Foren nur die HTTP-Verbindung, so werden eingegebene Passwörter im Klartext übertragen. Da oftmals dasselbe Passwort für verschiedene Logins verwendet wird, braucht man nur einmal die Zugangsdaten abfangen um auf die meisten Logins des Users zugreifen zu können. Wenn Sie sich nicht sicher sind, ob Sie dem Zertifikat vertrauen können oder Sie generelle Fragen zu den Zertifikaten haben, erreichen Sie uns an 365 Tagen im Jahr unter +49 (0)6131 327070.
16. Mai 2018 um 17:24 Uhr
Großes Lob an den Autor! Sehr informativ und dazu leicht verständlich geschrieben.
Der erste vernünftige Artikel zu Zertifikaten im Netz der alle meine “halbwissen” Fragen beantwortet hat!!