Abo
  • Services:
Anzeige
Das Netz ist auf dem Weg zu HTTPS für alle Webseiten.
Das Netz ist auf dem Weg zu HTTPS für alle Webseiten. (Bild: Screenshot / bearbeitet: Hanno Böck)

Mythos: Die Zertifizierungsstellen geben alle privaten Schlüssel an Geheimdienste weiter

Anzeige

Einige Zertifizierungsstellen bieten eine Funktion an, bei der die Zertifizierungsstelle den privaten Schlüssel für ein HTTPS-Zertifikat erstellt. Diese Funktion ist umstritten, insbesondere StartSSL steht dafür immer wieder in der Kritik.

Allerdings: Kein Kunde wird zur Nutzung dieser Funktion gezwungen, auch wenn dies immer wieder fälschlicherweise behauptet wird. Jeder Nutzer hat die Möglichkeit, selbst einen privaten Schlüssel und ein sogenanntes CSR (Certificate signing request) zu erstellen und dieses von der Zertifizierungsstelle signieren zu lassen. Dann kann man sich auch sicher sein, dass der private Schlüssel nicht in fremde Hände gelangt.

Mythos: Es ist wichtig, dass ich das Zertifikat bei einer vertrauenswürdigen Zertifizierungsstelle erhalte

Aus Sicherheitsgründen ist es völlig egal, von welcher Zertifizierungsstelle man sein Zertifikat erhält. Manche Webseitenbetreiber haben in der Vergangenheit damit geworben, dass sie Zertifikate von einem europäischen Anbieter erwerben, weil sie US-Anbietern nicht trauen. Solche Aussagen zeigen nur, dass die Personen offenbar nicht wissen, wie das Zertifikatssystem funktioniert.

Im Browser sind in der Regel alle Zertifizierungsstellen gleichberechtigt (es gibt wenige Ausnahmen). Wer sein Zertifikat von einer besonders vertrauenswürdigen Zertifizierungsstelle erhält, kann weiterhin von einer der vielen anderen angegriffen werden.

Mythos: Das System der Zertifizierungsstellen ist korrupt, daher ist HTTPS nutzlos

Zunächst einmal ist es richtig, dass es viel bereichtigte Kritik an der Arbeit der Zertifizierungsstellen gibt. Viele wurden in der Vergangenheit gehackt, und es wurden Zertifikate durch unauthorisierte Dritte ausgestellt. Dafür stehen beispielsweise die Namen Comodo, Türktrust und Diginotar. Das grundsätzliche Problem des ganzen Systems ist, dass eine einzige kompromittierte Zertifizierungsstelle ausreicht, um jede beliebige Webseite anzugreifen. Viele Zertifizierungsstellen befinden sich in den USA und sind vermutlich verpflichtet, der NSA bei Bedarf zu helfen.

Daraus zu schließen, dass HTTPS komplett nutzlos ist, würde jedoch weit über das Ziel hinausschießen. Selbst wenn die NSA in der Lage wäre, alle HTTPS-Verbindungen anzugreifen, würde die Technologie Nutzer immer noch in vielen Szenarien schützen. Denn auch wenn Zertifizierungsstellen von Geheimdiensten kompromittiert werden können: Für einfache Kriminelle, die beispielsweise Zugangsdaten zu Mailaccounts mitlesen wollen, um sie für Spamangriffe zu missbrauchen, ist dies vermutlich eine nicht zu überwindende Hürde.

Viel wichtiger ist aber folgendes: In Folge der diversen Skandale um Zertifizierungsstellen wurden inzwischen Technologien entwickelt, die die Nutzung kompromittierter Zertifikate zwar nicht in allen Fällen ausschließen, aber doch enorm erschweren. Dazu gehört die Funktion HTTP Public Key Pinning (HPKP), mit der ein Seitenbetreiber bestimmte Keys im Browser des Nutzers für einen definierten Zeitraum festlegen kann. Das System Certificate Transparency sorgt außerdem dafür, dass es erschwert wird, die Fälschung von Zertifikaten zu vertuschen. Diese werden von Log-Servern in einem kryptographisch abgesicherten Log gespeichert.

 Mythos: HTTPS ist viel zu langsamAlternative DANE 

eye home zur Startseite
kinjo 14. Jan 2017

Ich habe err_ssl_protocol_error Problem in meinem PC

hjp 22. Dez 2014

Als ich das vor einiger Zeit bei StartSSL probiert habe, ging das ebenfalls über ein...

hjp 22. Dez 2014

Der Schlüssel wird bei dem von mir beschriebenen Verfahren eben nicht von der CA...

spiderbit 19. Dez 2014

naja 1. wird der key automatisch erzeugt 2. ist die aufnahme der ausname ein y enter...

HubertHans 19. Dez 2014

Ich glaube du hast es nicht richtig gelesen und bist den Uebertreibungen aufgesessen...



Anzeige

Stellenmarkt
  1. KPMG AG Wirtschaftsprüfungsgesellschaft, Berlin
  2. über Harvey Nash GmbH, Mannheim
  3. SynerTrade SES AG, München
  4. EidosMedia GmbH, Frankfurt am Main


Anzeige
Blu-ray-Angebote
  1. (u. a. The Revenant 7,97€, James Bond Spectre 7,97€, Der Marsianer 7,97€)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. MWC Shanghai

    LTE-Technologie erreicht Latenz von unter zwei Millisekunden

  2. Landkreis Plön

    Tele Columbus bringt Gigabit-Zugänge in 15.000 Haushalte

  3. Innovation Days

    Ericsson liefert Basisstation an 5G Lab Germany

  4. Für Lokalsender

    Kabelnetzbetreiber wollen 250 Millionen Euro Rundfunkgebühr

  5. Linux-Kernel-Security

    Torvalds bezeichnet Grsecurity als "Müll"

  6. Zolo Liberty Plus

    Drahtlose Ohrstöpsel auf Kickstarter für nur 100 US-Dollar

  7. Eckpunkte

    Bundesnetzagentur sieht 5G bei 2 GHz und 3.400 bis 3.700 MHz

  8. Internet sofort

    Das Warten auf den Festnetzanschluss kann teuer werden

  9. Ransomware

    Petya-Kampagne nutzt Lücke in Buchhaltungssoftware

  10. 10 GBit/s

    Erste 5G-Endgeräte sind noch einen Kubikmeter groß



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Dirt 4 im Test: Vom Fahrschüler zum Rallye-Weltmeister
Dirt 4 im Test
Vom Fahrschüler zum Rallye-Weltmeister

Mesh- und Bridge-Systeme in der Praxis: Mehr WLAN-Access-Points, mehr Spaß
Mesh- und Bridge-Systeme in der Praxis
Mehr WLAN-Access-Points, mehr Spaß
  1. Aruba HPE Indoor-Tracking leicht gemacht
  2. Eero 2.0 Neues Mesh-WLAN-System kann sich auch per Kabel vernetzen
  3. BVG Fast alle Berliner U-Bahnhöfe haben offenes WLAN

Mobile-Games-Auslese: Ninjas, Pyramiden und epische kleine Kämpfe
Mobile-Games-Auslese
Ninjas, Pyramiden und epische kleine Kämpfe
  1. Ubisoft Chaoshasen, Weltraumaffen und die alten Ägypter
  2. Monument Valley 2 im Test Rätselspiel mit viel Atmosphäre und mehr Vielfalt
  3. Mobile-Games-Auslese Weltraumkartoffel und Bilderbuchwanderung für mobile Spieler

  1. Re: ebay

    Thunderbird1400 | 19:22

  2. Re: und warum hat das so lange gedauert?

    RipClaw | 19:18

  3. Re: Doof?

    lear | 19:18

  4. Re: " ... verfassungsrechtlich bedenklich ... "

    Schrödinger's... | 19:13

  5. Re: Nonchalant? Echt jetzt?

    ckerazor | 19:12


  1. 18:23

  2. 17:10

  3. 16:17

  4. 14:54

  5. 14:39

  6. 14:13

  7. 13:22

  8. 12:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel