Abo
  • Services:

Mythos: Die Zertifizierungsstellen geben alle privaten Schlüssel an Geheimdienste weiter

Einige Zertifizierungsstellen bieten eine Funktion an, bei der die Zertifizierungsstelle den privaten Schlüssel für ein HTTPS-Zertifikat erstellt. Diese Funktion ist umstritten, insbesondere StartSSL steht dafür immer wieder in der Kritik.

Stellenmarkt
  1. Freie und Hansestadt Hamburg, Hamburg
  2. Diamant Software GmbH & Co. KG, Bielefeld

Allerdings: Kein Kunde wird zur Nutzung dieser Funktion gezwungen, auch wenn dies immer wieder fälschlicherweise behauptet wird. Jeder Nutzer hat die Möglichkeit, selbst einen privaten Schlüssel und ein sogenanntes CSR (Certificate signing request) zu erstellen und dieses von der Zertifizierungsstelle signieren zu lassen. Dann kann man sich auch sicher sein, dass der private Schlüssel nicht in fremde Hände gelangt.

Mythos: Es ist wichtig, dass ich das Zertifikat bei einer vertrauenswürdigen Zertifizierungsstelle erhalte

Aus Sicherheitsgründen ist es völlig egal, von welcher Zertifizierungsstelle man sein Zertifikat erhält. Manche Webseitenbetreiber haben in der Vergangenheit damit geworben, dass sie Zertifikate von einem europäischen Anbieter erwerben, weil sie US-Anbietern nicht trauen. Solche Aussagen zeigen nur, dass die Personen offenbar nicht wissen, wie das Zertifikatssystem funktioniert.

Im Browser sind in der Regel alle Zertifizierungsstellen gleichberechtigt (es gibt wenige Ausnahmen). Wer sein Zertifikat von einer besonders vertrauenswürdigen Zertifizierungsstelle erhält, kann weiterhin von einer der vielen anderen angegriffen werden.

Mythos: Das System der Zertifizierungsstellen ist korrupt, daher ist HTTPS nutzlos

Zunächst einmal ist es richtig, dass es viel bereichtigte Kritik an der Arbeit der Zertifizierungsstellen gibt. Viele wurden in der Vergangenheit gehackt, und es wurden Zertifikate durch unauthorisierte Dritte ausgestellt. Dafür stehen beispielsweise die Namen Comodo, Türktrust und Diginotar. Das grundsätzliche Problem des ganzen Systems ist, dass eine einzige kompromittierte Zertifizierungsstelle ausreicht, um jede beliebige Webseite anzugreifen. Viele Zertifizierungsstellen befinden sich in den USA und sind vermutlich verpflichtet, der NSA bei Bedarf zu helfen.

Daraus zu schließen, dass HTTPS komplett nutzlos ist, würde jedoch weit über das Ziel hinausschießen. Selbst wenn die NSA in der Lage wäre, alle HTTPS-Verbindungen anzugreifen, würde die Technologie Nutzer immer noch in vielen Szenarien schützen. Denn auch wenn Zertifizierungsstellen von Geheimdiensten kompromittiert werden können: Für einfache Kriminelle, die beispielsweise Zugangsdaten zu Mailaccounts mitlesen wollen, um sie für Spamangriffe zu missbrauchen, ist dies vermutlich eine nicht zu überwindende Hürde.

Viel wichtiger ist aber folgendes: In Folge der diversen Skandale um Zertifizierungsstellen wurden inzwischen Technologien entwickelt, die die Nutzung kompromittierter Zertifikate zwar nicht in allen Fällen ausschließen, aber doch enorm erschweren. Dazu gehört die Funktion HTTP Public Key Pinning (HPKP), mit der ein Seitenbetreiber bestimmte Keys im Browser des Nutzers für einen definierten Zeitraum festlegen kann. Das System Certificate Transparency sorgt außerdem dafür, dass es erschwert wird, die Fälschung von Zertifikaten zu vertuschen. Diese werden von Log-Servern in einem kryptographisch abgesicherten Log gespeichert.

 Mythos: HTTPS ist viel zu langsamAlternative DANE 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Blu-ray-Angebote
  1. (u. a. Game Night 5,98€, Maze Runner 6,98€, Coco 5,98€)

kinjo 14. Jan 2017

Ich habe err_ssl_protocol_error Problem in meinem PC

hjp 22. Dez 2014

Als ich das vor einiger Zeit bei StartSSL probiert habe, ging das ebenfalls über ein...

hjp 22. Dez 2014

Der Schlüssel wird bei dem von mir beschriebenen Verfahren eben nicht von der CA...

spiderbit 19. Dez 2014

naja 1. wird der key automatisch erzeugt 2. ist die aufnahme der ausname ein y enter...

HubertHans 19. Dez 2014

Ich glaube du hast es nicht richtig gelesen und bist den Uebertreibungen aufgesessen...


Folgen Sie uns
       


i-Cristal autonomer Bus - Interview (englisch)

Der nächste Schritt steht an: Der französische Verkehrsbetrieb plant einen Test mit einem autonom fahenden Bus. Er soll Anfang 2020 in einer französischen Großstadt im normalen Verkehr fahren.

i-Cristal autonomer Bus - Interview (englisch) Video aufrufen
Norsepower: Stahlsegel helfen der Umwelt und sparen Treibstoff
Norsepower
Stahlsegel helfen der Umwelt und sparen Treibstoff

Der erste Test war erfolgreich: Das finnische Unternehmen Norsepower hat zwei weitere Schiffe mit Rotorsails ausgestattet. Der erste Neubau mit dem Windhilfsantrieb ist in Planung. Neue Regeln der Seeschifffahrtsorganisation könnten bewirken, dass künftig mehr Schiffe saubere Antriebe bekommen.
Ein Bericht von Werner Pluta

  1. Car2X Volkswagen will Ampeln zuhören
  2. Innotrans Die Schiene wird velosicher
  3. Logistiktram Frankfurt liefert Pakete mit Straßenbahn aus

Campusnetze: Das teure Versäumnis der Telekom
Campusnetze
Das teure Versäumnis der Telekom

Die Deutsche Telekom muss anderen Konzernen bei 5G-Campusnetzen entgegenkommen. Jahrzehntelang von Funklöchern auf dem Lande geplagt, wollen Siemens und die Automobilindustrie nun selbst Mobilfunknetze aufspannen. Auch der öffentliche Rundfunk will selbst 5G machen.
Eine Analyse von Achim Sawall

  1. Stadtnetzbetreiber 5G-Netz kann auch aus der Box kommen
  2. Achim Berg "In Sachen Gigabit ist Deutschland ein großer weißer Fleck"
  3. Telefónica Bündelung von Bandbreiten aus 4G und 5G ist doch möglich

Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

    •  /