360° IT-Sicherheit: Webserver-Sicherheit/Zertifikate

Ein digitales Zertifikat ist ein elektronischer Echtheitsnachweis. Wie bei einem Personalausweis wird damit die Identität einer Person bzw. eines Rechners bescheinigt. Zertifikate ermöglichen, mit Fremden Daten auszutauschen und dabei die Authentizität und Integrität sicherzustellen. Das heißt, es wird überprüft, ob der Absender derjenige ist, für den er sich ausgibt und ob der Inhalt unverändert ist. Gleichzeitig können die zur übertragenden Daten mit dem Zertifikat auch verschlüsselt werden.

Zertifikate werden von Zertifizierungsstellen ausgestellt, die strenge Sicherheitsanforderungen erfüllen müssen. Auch die Zertifizierugsstellen benötgen Zertifikate, die wiederum von einer höheren Instanz ausgestellt werden. So entsteht eine Zertifikatshierarchie für eine bessere Absicherung. Am Ende dieser Kette steht das „Root-Zertifikat“, das bereits mit der Installation einer Software wie Browser oder E-Mail-Client auf dem eigenen Rechner bekannt ist und dem damit implizit vertraut wird.

Eigenschaften des digitalen Zertifikats

Gemäß ISO X.509- Standard gibt es Pflichtangaben, die ein Zertifikat enthalten muss:
  • der Name des Zertifikatsinhabers
  • die Zertifizierungsstelle
  • die Gültigkeitsdauer
  • die Seriennummer
  • der öffentliche Schlüssel des Inhabers zur Identitätsprüfung
  • die digitale Signatur der ausstellenden Zertifizierungsstelle zur Echtheitsüberprüfung

Die Zertifizierungsstelle signiert diese Informationen mit ihrem privaten Schlüssel. Auf diese Weise wird die Richtigkeit der im Zertifikat enthaltenen Angaben attestiert.

Einsatz von Zertifikaten

Zertifikate werden in erster Linie dort eingesetzt, wo die Identität festgestellt und/oder die Daten verschlüsselt werden müssen. Ein Zertifikat soll zum Beispiel „Man-in-the-Middle-Attacken“ abwehren. SSL-Zertifikate (oder TLS) verschlüsseln die zu übertragenden Daten zwischen Web-Browser und Server und sichern diese ab. Aber es ist Vorsicht geboten. Trotz verschlüsselter Verbindung können bei Phishing Attacken gefälschte Seiten als „echt“ ausgeben. Die Fälschung ist kaum zu erkennen, weil der Domainname oft nur geringfügig vom echten Namen abweicht und es für den gefälschten Namen sehr wohl wieder ein korrektes Zertifikat geben kann.

Extended-Validation-SSL-Zertifikate sind an strengere Vergabekriterien verknüpft und erkennbar am grünen Sicherheitsschloss oder dem grünen Firmennamen. Dass Betrüger diesen Aufwand bei Phishing-Attaken betreiben, ist  jedoch eher unwahrscheinlich. Und falls doch hätte man auf Grund der Daten im Zertifikat einen konkreten juristisch verwendbaren Anhaltspunkt über die ausführende Organisation.

Darüber hinaus kommen Zertifikate bei der E-Mail-Verschlüsselung, der digitalen Signatur und bei der Netzwerkanbindung (VPN o.ä.) zum Einsatz.

Nicht blind vertrauen

Zertifikate sind ein wichtiger Aspekt bei der Sicherheit, bieten aber keinen 100%igen Schutz. Es bleibt das Risiko, ob der öffentliche Schlüssel einer vertrauenswürdigen Zertifizierungsstelle zugeordnet ist. Der Benutzer verlässt sich zum Beispiel darauf, dass der Browser-Anbieter korrekte Root-Zertifikate aufgenommen hat. Wie bei allen Aspekten der IT-Sicherheit empfiehlt sich auch bei diesem Thema, nicht blind zu vertrauen, sondern die „Qualität der Sicherheit“ realistisch einzuschätzen. Anwender sollten bei kritischen Seiten wie Onlinebanking auf jeden Fall die genaue Schreibweise des Domainnamens in der URL checken, denn ein SSL-Zertifikat gibt keine abschließende Sicherheit.

Einen SSL-Schnellcheck finden Sie hier. Wenn Sie wissen wollen, wie Sie Ihre Webserver-Absicherung verbessern, beraten wir Sie gerne.