Navigation
 Startseite
 Fachbücher
 Forum
 Webmaster News
 Script Newsletter
 Kontakt
 Script Installation
 Php
 Php Tutorials
 Impressum

Community-Bereich
 kostenlos Registrieren
 Anmelden
 Benutzerliste

Script Datenbank
 Script Archiv
 Script Top 20
 Screenshots
 Testberichte

Suche
 

Unsere Php Scripts
 Counter Script
 Umfrage Script
 Bilder Upload Script
 Terminverwaltung
 Simple PHP Forum
 RSS Grabber

Script Mods
 phpBB Adsense Mode

Tools und Generatoren
 .htpasswd Generator
 md5 Generator
 base64 Generator
 ICQ Generator
 Colorpicker
 Unix timestamp Tool
 TLD Liste
 Webkatalog‑Verzeichnis

Partner
 Sprüche Treff

Hosterplus.de
Bekommen Sie Speicherplatz (Webspace), Domains und...
https://www.Hosterplus.de
Artfiles.de
Bietet Serviceorientierte Internetdienstleistungen...
https://www.Artfiles.de
 
 
 

Vorsicht bei kostenlosen SSL-Zertifikaten

Sie befinden sich: Home > Webmaster News

Website-Betreibern, die Nutzerdaten SSL-verschlüsselt entgegennehmen kann man vertrauen, heisst es immer wieder. Das könnte bald nur noch bedingt gelten. Einige Anbieter stellen SSL-Website-Zertifikate ohne jede Authentifizierung des Antragstellers bereit. Die Folge: Anwender haben keinerlei Informationen darüber, für welchen Empfänger sie ihre Daten verschlüsseln; die Verschlüsselung ist damit nahezu nutzlos.

SSL-Zertifikate enthalten zusätzlich zum öffentlichen Schlüssel den Namen der Website, die diesen verwendet. Diese Information beglaubigen Unternehmen („Certificate Authorities“, CAs) wie Verisign, die teilweise viel Geld für solche Server-Zertifikate verlangen. Viele Authorities sind in den beiden zurzeit dominierenden Webbrowsern Internet Explorer und Mozilla bereits als vertrauenswürdig eingestuft. Für den Browser-Nutzer bedeutet das, dass er ein Zertifikat dieser Stellen nicht mehr manuell auf seine Echtheit überprüfen muss -- sofern er den CAs seines Browsers vertraut.

„Diese Unternehmen ziehen Ihnen nur das Geld aus der Tasche“, tönt das israelische Start-Up-Unternehmen StartCom und richtete gerade eine eigene Zertifizierungsstelle ein. „SSL ist dazu da, den Traffic zwischen Browser und Server zu verschlüsseln. Punkt!“ Daher biete man über ein Webfrontend nun von StartCom bestätigte Zertifikate an, die der Webmaster zur SSL-Verschlüsselung einsetzen könne.

Schon bei der Schlüsselerstellung geht StartCom nicht sonderlich seriös vor: Der „Certificate Creation Wizard“ erzeugt den Private Key auf dem Server der israelischen Firma und übermittelt ihn dem Website-Betreiber über eine (SSL-gesicherte) Web-Seite. Eine Garantie, dass nicht eine Kopie des geheimen Schlüssels bei StartCom verbleibt, erhält er nicht. Mit einer solchen Kopie wäre es möglich, alle verschlüsselten Verbindungen des Servers zu dechiffrieren. Bei seriösen Anbietern erzeugt der Anwender seinen geheimen Schlüssel lokal; an die CA übermittelt er nur den Zertifizierungsantrag, den diese unterschrieben zurücksendet.

Im Gespräch mit heise online gab Reimer Karlsen, verantwortlich, für die Public-Key-Infrastruktur des DFN-CERT, zu bedenken, dass StartCom keinerlei Policy für die Herausgabe von Zertifikaten vorhält. Eine Stichprobe von heise online zeigt tatsächlich: Es ist mit erfundenen Betreiberangaben möglich, bei StartCom ein Zertifikat für eine völlig fremde Website zu erhalten. Anwender, die der Aufforderung von StartCom nachkommen und das CA-Zertifikat der Firma installieren, können sich auf den Schutz von SSL-gesicherten Verbindungen nicht mehr verlassen. Ihr Browser akzeptiert anschließend ein erschwindeltes StartCom-eBay-Zertifikat genauso anstandslos wie das Original. Damit ist beispielsweise Man-In-The-Middle-Angriffen Tür und Tor geöffnet, bei denen sich der Angreifer als Zwischenstation in die verschlüsselte Verbindung einklinkt und alle Daten mit liest.

Welchen Sinn soll eine Zertifizierungsstelle ohne Ãœberprüfung des Antragsstellers, wie sie zum Beispiel auch der Chaos Computer Club (CCC) betreibt, dann eigentlich haben? „Keinen“, glaubt auch Karlsen. SSL-gesicherte Seiten ohne irgendwelche Anhaltspunkte über die Identität des Betreibers führen Verschlüsselung ad Absurdum. Schließlich könnte am anderen Ende der Verbindung genauso gut ein Bösewicht sitzen wie irgendwo unterwegs.

Ein eigenes, selbst unterschriebenes SSL-Zertifikat kann man sich auch ohne offizielle Zertifizierungsstelle erstellen. Das ist im Zweifelsfall glaubwürdiger als eines, das von einer fragwürdigen Zertifizierungsstelle beglaubigt wurde. Die Anwender können es, nachdem sie sich selbst von der Echtheit überzeugt haben -- zum Beispiel, indem sie den Fingerprint mit dem telefonisch erfragten Vergleichen -- permanent in ihren Browser importieren. Wer ohne allzu viel Geld auszugeben ein SSL-Zertifikat anbieten will, das die Browser seiner Besucher ohne Warnung akzeptieren, sollte lieber zu einem günstigen Dienstleister gehen. FreeSSL.com beispielsweise bietet ein 128-bit-SSL-Zertifikat für 49 US-Dollar pro Jahr an. Weil FreeSSL Reseller des Root-CA GeoTrust ist, nimmt jeder Browser die Zertifikate ohne Nachfrage beim Nutzer entgegen. Beim deutschen TC Trustcenter beispielsweise kostet ein ähnliches Zertifikat immerhin 130 Euro jährlich plus Einrichtungsgebühr von 130 Euro

Eingetragen am 24.02.2005


Schreib ein Kommentar

Name
Mail
Webseite
Kommentar