Suchen

Sichere Zertifikate Moderne Browser und EV-SSL-Zertifikate ermöglichen sicheres Surfen

Autor / Redakteur: Marcell Dietl / Stephan Augsten

Als Ende der 80er Jahre die Idee eines Hypertext-basierten Netzes veröffentlicht wurde, fand sie fast keine Beachtung. Nur wenige Jahre später war es für viele schon unverzichtbar geworden. Doch mit steigendem Komfort stieg auch die Zahl der Betrüger. Zertifikate geben Vertrauen und Sicherheit zurück!

Firma zum Thema

Manch ein Internet-Nutzer lässt sich durch das Zertifikats-Handling älterer Browser blenden.
Manch ein Internet-Nutzer lässt sich durch das Zertifikats-Handling älterer Browser blenden.
( Archiv: Vogel Business Media )

Bei fehlenden Schutzprogrammen gibt es für Viren, Würmer und Trojaner sehr viele Wege ins System. Dort angekommen, beginnen sie mit dem Sammeln sensibler Daten – meist Zugangscodes zu diversen Online-Diensten. Selbst der sicherste Online-Shop ist machtlos, wenn die Software des Nutzers selbst veraltet ist.

Ein großer Teil der Schadsoftware, die im Internet kursiert, nutzt längst geschlossene Sicherheitslücken aus. Regelmäßige OS-Updates lassen viele dieser Angriffe ins Leere laufen. Doch immer häufiger ist nicht das Betriebssystem das Ziel, sondern die darauf installierte Drittanbieter-Software.

Das Windows-Update aktualisiert beispielsweise stets den Internet Explorer, aber längst nicht alle installierten ActiveX-Komponenten. Kaum besser sieht es beim hierzulande sehr weit verbreiteten Firefox-Browser aus. Zwar überwacht dieser in den neuesten Versionen einige wenige Plug-ins wie Flash – wer den Browser jedoch nicht aktualisiert, der bekommt diese Funktion auch nie zu Gesicht.

Gleiches gilt für Schutzsoftware: Viele wichtige Funktionen stehen erst in der jeweils neuesten Version zur Verfügung. Und die Update-Mechanismen sind bei vielen Produkten wenig benutzerfreundlich. Die Folge: Anwender verschieben notwendige Aktualisierungen bis zum Sankt-Nimmerleins-Tag.

Kryptische SSL-Warnungen verschleiern Gefahren

Wer veraltete Software nutzt, läuft stets Gefahr, seinen PC mit Schadsoftware zu infizieren. Bei Webbrowsern kommt jedoch noch ein gefährlicheres Risiko hinzu: Das Gefühl falscher Sicherheit!

Schuld sind die für Laien nur schwer verständlichen Warnungen; und je mehr die Hersteller sich an einer eindeutigen Formulierung versuchten, desto größer wurde die Verwirrung der Nutzer. Von Version zu Version und Browser zu Browser variieren die Meldungen. Schlimmer noch: Viele Programme unterscheiden kaum zwischen minderwertigen und hochwertigen SSL-Zertifikaten.

Als minderwertig gelten etwa Domain-Validated-SSL-Zertifikate, die allein den Besitzstand einer Domain überprüfen – beispielsweise durch das Versenden einer E-Mail, die es zu Bestätigen gilt. Vor allem für Kriminelle waren solche Zertifikate reizvoll, da sie schnell und ohne Identitätsprüfung ausgestellt wurden. Ältere Browser, die solche Webseiten als vertrauenswürdig einstufen, wiegen den Nutzer in einer gefährlichen und falschen Sicherheit.

Inhalt

  • Seite 1: Kryptische SSL-Warnungen verschleiern Gefahren
  • Seite 2: CA/Browser-Forum und Extended-Validation-Standard
  • Seite 3: Zwischenzertifikate und Vertrauensketten

CA/Browser-Forum und Extended-Validation-Standard

Um dem beschriebenen Chaos ein Ende zu setzen, entwickelten führende Zertifizierungsstellen (Certificate Authorities, CAs) und Browser-Hersteller eine einheitliche Richtlinie. In dieser ist geregelt, welche Anforderungen eine Zertifizierungsstelle erfüllen muss, damit sie in Browsern als vertrauenswürdig eingestuft werden darf.

Darüber hinaus wurde festgelegt, welche Schritte eine Zertifizierungsstelle bei der Überprüfung eines Antragstellers durchzuführen hat. Nur den Besitzstand der Domain sicherzustellen reicht nicht aus - auch alle anderen Informationen, die später im Zertifikat eingetragen werden, müssen vorab belegt werden. Diese Hürde ist gewollt hoch und für Betrüger extrem schwer zu nehmen.

Für die Websurfer könnte es kaum einfacher sein, vertrauenswürdige Seiten zu erkennen. Ist ein Extended-Validation-SSL-Zertifikat im Einsatz, so wird die Adressleiste grün gefärbt. Einzige Bedingung: Der Browser muss extra für den Umgang mit diesen Zertifikaten entwickelt worden sein.

Mögliche Angriffspunkte

Zwar können auch ältere Browser mit hochwertigen SSL-Zertifikaten umgehen, sie unterscheiden diese aber nicht ausreichend von minderwertigen. Der Zugewinn an Sicherheit geht somit größtenteils wieder verloren.

Dank der strengeren Kontrollen wird das Erschleichen eines SSL-Zertifikats für Betrüger zwar schwieriger, dennoch gibt es noch immer einen schwachen Punkt: Die Zertifikate, welche zum Signieren verwendet werden.

Nutzen diese einen unsicheren kryptografischen Algorithmus, so besteht die realistische Chance eines Kollisionsangriffs. Dabei wird durch den Vergleich verschiedener Zertifikate versucht Muster zu erkennen und schließlich richtige Vorhersagen zu treffen.

Inhalt

  • Seite 1: Kryptische SSL-Warnungen verschleiern Gefahren
  • Seite 2: CA/Browser-Forum und Extended-Validation-Standard
  • Seite 3: Zwischenzertifikate und Vertrauensketten

Zwischenzertifikate und Vertrauensketten

Einen erfolgreichen Kollisionsangriff initiierte ein Forscher-Team im Rahmen einer Sicherheitskonferenz Ende 2008 in Berlin. Es gelang ihnen das Zertifikat eines Anbieters zu knacken, das den längst veralteten Algorithmus MD5 nutzte und sich selbst vertrauenswürdige SSL-Zertifikate auszustellen.

Um solche Angriffe zu verhindern, setzen viele Anbieter mittlerweile auf sichere Alternativen und eine Schlüssellänge von mindestens 2048 Bits. Zusätzlich dazu verwenden Zertifizierungsstellen sogenannte Vertrauensketten. Zum Signieren der Zertifikate wird nicht das Root-Zertifikat, sondern ein separates Zwischenzertifikat eingesetzt.

Stößt ein Browser auf ein solches Zwischenzertifikat, folgt er der Hierarchie solange nach oben bis er schließlich das Root-Zertifikat erreicht. Dieses vergleicht er wie gewohnt mit der Liste von ihm bekannten Anbietern und stuft es als vertrauenswürdig - oder eben nicht - ein.

Fazit

Maximale Sicherheit kann es nur geben, wenn alle ihren Teil dazu beitragen:

Anwender müssen darauf achten stets alle Updates zu installieren, ihr System und ihre Software auf dem neuesten Stand zu halten und eine gesunde Skepsis im Internet zu entwickeln. Nur wer aktuelle Browser und Schutzsoftware nutzt, profitiert auch von den neuesten Sicherheitsstandards.

Anbieter dürfen an der Sicherheit ihrer Kunden nicht sparen und sollten bei sensiblen Daten immer eine verschlüsselte Übertragung nutzen. Sichere Extended-Validation-SSL-Zertifikate und Hinweise zu Risiken sensibilisieren Kunden und runden das Konzept ab.

Und auch die Zertifizierungsstellen sind gefragt: Sie sollten veraltete Standards endgültig verbannen, die Richtlinien des CA/Browser-Forums umsetzen und jedem Antragsteller die Vorteile sicherer EV-SSL-Zertifikate nahe legen.

Am Ende profitieren alle von der gewonnenen Sicherheit – außer der Kriminellen, die vertrauliche Daten nicht länger stehlen können!

Inhalt

  • Seite 1: Kryptische SSL-Warnungen verschleiern Gefahren
  • Seite 2: CA/Browser-Forum und Extended-Validation-Standard

Seite 3: Zwischenzertifikate und Vertrauensketten

(ID:2051609)