Abo
  • Services:
Anzeige
Das Netz ist auf dem Weg zu HTTPS für alle Webseiten.
Das Netz ist auf dem Weg zu HTTPS für alle Webseiten. (Bild: Screenshot / bearbeitet: Hanno Böck)

Mythos: Die Zertifizierungsstellen geben alle privaten Schlüssel an Geheimdienste weiter

Anzeige

Einige Zertifizierungsstellen bieten eine Funktion an, bei der die Zertifizierungsstelle den privaten Schlüssel für ein HTTPS-Zertifikat erstellt. Diese Funktion ist umstritten, insbesondere StartSSL steht dafür immer wieder in der Kritik.

Allerdings: Kein Kunde wird zur Nutzung dieser Funktion gezwungen, auch wenn dies immer wieder fälschlicherweise behauptet wird. Jeder Nutzer hat die Möglichkeit, selbst einen privaten Schlüssel und ein sogenanntes CSR (Certificate signing request) zu erstellen und dieses von der Zertifizierungsstelle signieren zu lassen. Dann kann man sich auch sicher sein, dass der private Schlüssel nicht in fremde Hände gelangt.

Mythos: Es ist wichtig, dass ich das Zertifikat bei einer vertrauenswürdigen Zertifizierungsstelle erhalte

Aus Sicherheitsgründen ist es völlig egal, von welcher Zertifizierungsstelle man sein Zertifikat erhält. Manche Webseitenbetreiber haben in der Vergangenheit damit geworben, dass sie Zertifikate von einem europäischen Anbieter erwerben, weil sie US-Anbietern nicht trauen. Solche Aussagen zeigen nur, dass die Personen offenbar nicht wissen, wie das Zertifikatssystem funktioniert.

Im Browser sind in der Regel alle Zertifizierungsstellen gleichberechtigt (es gibt wenige Ausnahmen). Wer sein Zertifikat von einer besonders vertrauenswürdigen Zertifizierungsstelle erhält, kann weiterhin von einer der vielen anderen angegriffen werden.

Mythos: Das System der Zertifizierungsstellen ist korrupt, daher ist HTTPS nutzlos

Zunächst einmal ist es richtig, dass es viel bereichtigte Kritik an der Arbeit der Zertifizierungsstellen gibt. Viele wurden in der Vergangenheit gehackt, und es wurden Zertifikate durch unauthorisierte Dritte ausgestellt. Dafür stehen beispielsweise die Namen Comodo, Türktrust und Diginotar. Das grundsätzliche Problem des ganzen Systems ist, dass eine einzige kompromittierte Zertifizierungsstelle ausreicht, um jede beliebige Webseite anzugreifen. Viele Zertifizierungsstellen befinden sich in den USA und sind vermutlich verpflichtet, der NSA bei Bedarf zu helfen.

Daraus zu schließen, dass HTTPS komplett nutzlos ist, würde jedoch weit über das Ziel hinausschießen. Selbst wenn die NSA in der Lage wäre, alle HTTPS-Verbindungen anzugreifen, würde die Technologie Nutzer immer noch in vielen Szenarien schützen. Denn auch wenn Zertifizierungsstellen von Geheimdiensten kompromittiert werden können: Für einfache Kriminelle, die beispielsweise Zugangsdaten zu Mailaccounts mitlesen wollen, um sie für Spamangriffe zu missbrauchen, ist dies vermutlich eine nicht zu überwindende Hürde.

Viel wichtiger ist aber folgendes: In Folge der diversen Skandale um Zertifizierungsstellen wurden inzwischen Technologien entwickelt, die die Nutzung kompromittierter Zertifikate zwar nicht in allen Fällen ausschließen, aber doch enorm erschweren. Dazu gehört die Funktion HTTP Public Key Pinning (HPKP), mit der ein Seitenbetreiber bestimmte Keys im Browser des Nutzers für einen definierten Zeitraum festlegen kann. Das System Certificate Transparency sorgt außerdem dafür, dass es erschwert wird, die Fälschung von Zertifikaten zu vertuschen. Diese werden von Log-Servern in einem kryptographisch abgesicherten Log gespeichert.

 Mythos: HTTPS ist viel zu langsamAlternative DANE 

eye home zur Startseite
kinjo 14. Jan 2017

Ich habe err_ssl_protocol_error Problem in meinem PC

hjp 22. Dez 2014

Als ich das vor einiger Zeit bei StartSSL probiert habe, ging das ebenfalls über ein...

hjp 22. Dez 2014

Der Schlüssel wird bei dem von mir beschriebenen Verfahren eben nicht von der CA...

spiderbit 19. Dez 2014

naja 1. wird der key automatisch erzeugt 2. ist die aufnahme der ausname ein y enter...

HubertHans 19. Dez 2014

Ich glaube du hast es nicht richtig gelesen und bist den Uebertreibungen aufgesessen...



Anzeige

Stellenmarkt
  1. über Hanseatisches Personalkontor Kassel, Kassel
  2. über Jobware Personalberatung, Home Office und München
  3. Universität Passau, Passau
  4. Allianz Deutschland AG, München-Unterföhring


Anzeige
Spiele-Angebote
  1. 6,99€
  2. 14,99€
  3. (-85%) 5,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  2. TLS-Zertifikate

    Symantec verpeilt es schon wieder

  3. Werbung

    Vodafone will mit DVB-T-Abschaltung einschüchtern

  4. Zaber Sentry

    Mini-ITX-Gehäuse mit 7 Litern Volumen und für 30-cm-Karten

  5. Weltraumteleskop

    Erosita soll Hinweise auf Dunkle Energie finden

  6. Anonymität

    Protonmail ist als Hidden-Service verfügbar

  7. Sicherheitsbehörde

    Zitis soll von München aus Whatsapp knacken

  8. OLG München

    Sharehoster Uploaded.net haftet nicht für Nutzerinhalte

  9. Linux

    Kernel-Maintainer brauchen ein Manifest zum Arbeiten

  10. Micro Machines Word Series

    Kleine Autos in Kampfarenen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Intel Core i7-7700K im Test: Kaby Lake = Skylake + HEVC + Overclocking
Intel Core i7-7700K im Test
Kaby Lake = Skylake + HEVC + Overclocking
  1. Kaby Lake Intel macht den Pentium dank HT fast zum Core i3
  2. Kaby Lake Refresh Intel plant weitere 14-nm-CPU-Generation
  3. Intel Kaby Lake Vor der Vorstellung schon im Handel

Dienste, Programme und Unternehmen: Was 2016 eingestellt und geschlossen wurde
Dienste, Programme und Unternehmen
Was 2016 eingestellt und geschlossen wurde
  1. Kabel Mietminderung wegen defektem Internetkabel zulässig
  2. Grundversorgung Kanada macht Drosselung illegal
  3. Internetzugänge 50 MBit/s günstiger als 16 MBit/s

Macbook Pro 13 mit Touch Bar im Test: Schöne Enttäuschung!
Macbook Pro 13 mit Touch Bar im Test
Schöne Enttäuschung!
  1. Schwankende Laufzeiten Warentester ändern Akku-Bewertung des Macbook Pro
  2. Consumer Reports Safari-Bug verursachte schwankende Macbook-Pro-Laufzeiten
  3. Notebook Apple will Akkuprobleme beim Macbook Pro nochmal untersuchen

  1. Re: An den Guardian...

    masel99 | 23:17

  2. Re: Dejá-vu?

    Compufreak345 | 23:16

  3. Re: Er gibt uns allen ein gutes Gefühl

    Ganta | 23:16

  4. Re: Und für so einen Rotz..

    Yash | 23:15

  5. Re: Ist das ein IMHO?

    razer | 23:12


  1. 19:03

  2. 18:45

  3. 18:27

  4. 18:12

  5. 17:57

  6. 17:41

  7. 17:24

  8. 17:06


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel