Abo
  • Services:

Mythos: Die Zertifizierungsstellen geben alle privaten Schlüssel an Geheimdienste weiter

Einige Zertifizierungsstellen bieten eine Funktion an, bei der die Zertifizierungsstelle den privaten Schlüssel für ein HTTPS-Zertifikat erstellt. Diese Funktion ist umstritten, insbesondere StartSSL steht dafür immer wieder in der Kritik.

Stellenmarkt
  1. Bertrandt Services GmbH, Paderborn
  2. ADG Apotheken-Dienstleistungsgesellschaft mbH, Mannheim

Allerdings: Kein Kunde wird zur Nutzung dieser Funktion gezwungen, auch wenn dies immer wieder fälschlicherweise behauptet wird. Jeder Nutzer hat die Möglichkeit, selbst einen privaten Schlüssel und ein sogenanntes CSR (Certificate signing request) zu erstellen und dieses von der Zertifizierungsstelle signieren zu lassen. Dann kann man sich auch sicher sein, dass der private Schlüssel nicht in fremde Hände gelangt.

Mythos: Es ist wichtig, dass ich das Zertifikat bei einer vertrauenswürdigen Zertifizierungsstelle erhalte

Aus Sicherheitsgründen ist es völlig egal, von welcher Zertifizierungsstelle man sein Zertifikat erhält. Manche Webseitenbetreiber haben in der Vergangenheit damit geworben, dass sie Zertifikate von einem europäischen Anbieter erwerben, weil sie US-Anbietern nicht trauen. Solche Aussagen zeigen nur, dass die Personen offenbar nicht wissen, wie das Zertifikatssystem funktioniert.

Im Browser sind in der Regel alle Zertifizierungsstellen gleichberechtigt (es gibt wenige Ausnahmen). Wer sein Zertifikat von einer besonders vertrauenswürdigen Zertifizierungsstelle erhält, kann weiterhin von einer der vielen anderen angegriffen werden.

Mythos: Das System der Zertifizierungsstellen ist korrupt, daher ist HTTPS nutzlos

Zunächst einmal ist es richtig, dass es viel bereichtigte Kritik an der Arbeit der Zertifizierungsstellen gibt. Viele wurden in der Vergangenheit gehackt, und es wurden Zertifikate durch unauthorisierte Dritte ausgestellt. Dafür stehen beispielsweise die Namen Comodo, Türktrust und Diginotar. Das grundsätzliche Problem des ganzen Systems ist, dass eine einzige kompromittierte Zertifizierungsstelle ausreicht, um jede beliebige Webseite anzugreifen. Viele Zertifizierungsstellen befinden sich in den USA und sind vermutlich verpflichtet, der NSA bei Bedarf zu helfen.

Daraus zu schließen, dass HTTPS komplett nutzlos ist, würde jedoch weit über das Ziel hinausschießen. Selbst wenn die NSA in der Lage wäre, alle HTTPS-Verbindungen anzugreifen, würde die Technologie Nutzer immer noch in vielen Szenarien schützen. Denn auch wenn Zertifizierungsstellen von Geheimdiensten kompromittiert werden können: Für einfache Kriminelle, die beispielsweise Zugangsdaten zu Mailaccounts mitlesen wollen, um sie für Spamangriffe zu missbrauchen, ist dies vermutlich eine nicht zu überwindende Hürde.

Viel wichtiger ist aber folgendes: In Folge der diversen Skandale um Zertifizierungsstellen wurden inzwischen Technologien entwickelt, die die Nutzung kompromittierter Zertifikate zwar nicht in allen Fällen ausschließen, aber doch enorm erschweren. Dazu gehört die Funktion HTTP Public Key Pinning (HPKP), mit der ein Seitenbetreiber bestimmte Keys im Browser des Nutzers für einen definierten Zeitraum festlegen kann. Das System Certificate Transparency sorgt außerdem dafür, dass es erschwert wird, die Fälschung von Zertifikaten zu vertuschen. Diese werden von Log-Servern in einem kryptographisch abgesicherten Log gespeichert.

 Mythos: HTTPS ist viel zu langsamAlternative DANE 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Top-Angebote

kinjo 14. Jan 2017

Ich habe err_ssl_protocol_error Problem in meinem PC

hjp 22. Dez 2014

Als ich das vor einiger Zeit bei StartSSL probiert habe, ging das ebenfalls über ein...

hjp 22. Dez 2014

Der Schlüssel wird bei dem von mir beschriebenen Verfahren eben nicht von der CA...

spiderbit 19. Dez 2014

naja 1. wird der key automatisch erzeugt 2. ist die aufnahme der ausname ein y enter...

HubertHans 19. Dez 2014

Ich glaube du hast es nicht richtig gelesen und bist den Uebertreibungen aufgesessen...


Folgen Sie uns
       


Smartphones Made in Germany - Bericht

Gigaset baut Smartphones - in Deutschland.

Smartphones Made in Germany - Bericht Video aufrufen
Razer Blade 15 im Test: Schlanker 15,6-Zöller für Gamer gefällt uns
Razer Blade 15 im Test
Schlanker 15,6-Zöller für Gamer gefällt uns

Das Razer Blade 15 ist ein gutes Spiele-Notebook mit flottem Display und schneller Geforce-Grafikeinheit. Anders als im 14-Zoll-Formfaktor ist bei den 15,6-Zoll-Modellen die Konkurrenz aber deutlich größer.
Ein Test von Marc Sauter

  1. Gaming-Notebook Razer packt Hexacore und Geforce GTX 1070 ins Blade 15
  2. Razer Blade 2017 im Test Das beste Gaming-Ultrabook nun mit 4K

Battlefield 5 Closed Alpha angespielt: Schneller sterben, länger tot
Battlefield 5 Closed Alpha angespielt
Schneller sterben, länger tot

Das neue Battlefield bekommt ein bisschen was von Fortnite und wird allgemein realistischer und dynamischer. Wir konnten in der Closed Alpha Eindrücke sammeln und erklären die Änderungen.
Von Michael Wieczorek

  1. Battlefield 5 Mehr Reaktionsmöglichkeiten statt schwächerer Munition
  2. Battlefield 5 Closed Alpha startet mit neuen Systemanforderungen
  3. Battlefield 5 Schatzkisten und Systemanforderungen

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  2. Nasa 2020 soll ein Helikopter zum Mars fliegen
  3. Raumfahrt Nasa startet neue Beobachtungssonde Tess

    •  /