SSL Zertifikate

Publiziert: 06 May 2014 - Kategorie: info

tl;dr; Zertifikate, die wir bisher durch CACert signieren liessen,  werden nicht mehr erneuert, stattdessen haben wir nun unsere eigene CA. Bei uns gehostete Webseiten können dafür neuerdings ihr eigenes Zertifikat haben.

Beim verschlüsselten Surfen (also immer wenn neben der Adresse ein kleines Schloss erscheint) wird ein Protokoll namens SSL verwendet. Dieses soll verhindern, dass deine Eingaben auf der Webseite, oder was du dir anschaust, von Drittpersonen mitgelesen werden. Ohne das Schloss ist im Prinzip alles was du auf der Website abschickst und liest von allen lesbar, die die Verbindung sehen können. Dazu gehören unter Anderen dein Internetanbieter, oder aber auch die Personen, die sich im selben W-Lan befinden wie du. SSL wird auch für E-Mail, Jabber und vieles mehr verwendet.

Verschlüsselung allein reicht aber nicht, das zweite Stichwort lautete Authentizität: Es muss versichert sein, dass du tatsächlich mit dem richtigen und nur dem richtigen Server kommunizierst. Ansonsten könnte sich nämlich eine sogenannt aktive Angreiferin “in die Leitung hängen”. Diese macht dich bloss glauben, dass du mit dem immerda Webserver verbunden bist, indem sie dir zum Beispiel eine nachgebaute immerda login Seite anzeigt.

Um dies zu verhindern gibt es Zertifikate und Zertifizierungsstellen: Die Idee ist, dass du dem Server nur dann vertraust, wenn er ein gültiges Zertifikat vorweisen kann. Dabei handelt es sich um einen mathematischen Beweis dafür, dass eine vertrauenswürdige Zertifizierungstelle beglaubigt hat, dass tatsächlich die richtige Person am anderen Ende lauscht. So die Theorie!

Leider ist das ganze System ziemlich fragwürdig: Die Zertifizierungsstellen (die sogenannten Root-CAs) verlangen viel Geld für Zertifikate, obschon ihre Überprüfung oftmals sehr oberflächlich und ihre Sicherheitsstandards lückenhaft sind. Das ist besonders Problematisch, weil jede Zertifizierungsstelle ein Zertifikat für eine beliebige Adresse ausstellen kann. Es hilft somit nichts wenn z.B. die von immerda ausgewählte Zertifizierungsstelle besonders sorgfältig arbeitet, da irgendeine Andere genausogut ein zweites Zertifikat für immerda.ch ausstellen kann. Welchen Stellen du vertraust wird von deinem Browserhersteller für dich festgelegt und es sind nicht wenige. Du kannst davon ausgehen, dass jeder Staat der Erde Zugriff auf mindestens eine dieser Zertifizierungsstellen hat!

Um wirklich sicher zu gehen bleibt dir beim aktuellen Stand der Technik eigentlich nichts besseres übrig, als selber auf das Schlosssymbol zu klicken und den Fingerprint zu überprüfen. Diesen kannst du dann über einen zweiten Kanal überprüfen. Unsere Fingerprints signieren wir zum Beispiel mit GPG. Gegeben dass du unseren GPG-Key bereits besitzt und überprüft hast, kannst du die Signatur in diesem Dokument verifizieren

Bisher verwenden wir für alles, was nicht unter der immerda.ch Domain läuft CAcert. CAcert ist zwar ein interessantes Projekt und die Zertifikate sind gratis, aber leider von den allermeisten Browsern und Betriebssystemen nicht standardmässig als Zertifizierungsstelle akzeptiert. Aus diesem Grund erschien beim Besuch einer entsprechenden Webseite über https trotzdem eine Zertifikatswarnung. Leider sieht es aktuell nicht mehr danach aus, als würde CACert von den Browserherstellern bald als Zertifizierungsstelle anerkannt.

Aus diesem Grund und weil es technische Limitationen mit CAcert gibt und weil der Sicherheitsgewinn durch “offizielle” Zertifikate unerer Meinung nach begrenzt ist, haben wir beschlossen, unsere eigene Zertifizierungsstelle einzurichten. Für Webseiten oder Services, die bei uns gehostet sind (ausser für alles unter immerda.ch) wird in Zukunft nicht mehr ein von CAcert signiertes Zertifikat geliefert, sondern ein von unser eigenen Zertifizierungsstelle signiertes. Damit z.B. dein Webbrowser diese Zertifikate ohne Fehlermeldung akzeptiert, musst du unser Root Zertifikat importieren. Damit vertraust du in Zukunft unserer Zertifizierungsstelle, die Authentizität von SSL-Zertifikaten zu beglaubigen.

Im Rahmen des Aufbaus dieser Zertifizierungsstelle haben wir bei uns verschiedene Umstellungen und Anpassungen durchgeführt, so dass es nun für bei uns gehostete Webseiten möglich ist, dass diese ihr eigenes Zertifikat bei einer Zertifizierungsstelle ihrer Wahl signieren. Wenn du das als Webseitebetreiber möchtest, nimm einfach Kontakt mit uns auf.