Eine Kampagne des Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V.

| Home | Wir fordern | Hintergrund | Termine | Mitmachen? | Handeln! | Presse & PR | Das FIfF |

Hinweis zur Zertifikatswarnung

Weitere Informationen zu dem Thema Verschlüsselnung von Internetseiten:

• Wikipedia Artikel zu Cacert (Abschnitt Vertrauenswürdigkeit, der auch die Urache der Warnung erklärt)
• Übersicht zum Status der Nutzung von CAcert Root Zertifikaten in Browsern und Betriebssystemen

Zertifikatswarnungen besser verstehen

Einige Ursachen für Zertifikatswarnmeldungen kann man über Detailinformation mit entsprechendem Forschergeist analysieren und eine differenzierte, risikobasierte Reaktion daraus ableiten:

• Ablaufdatum überschritten
  Häufig ist ein Zertifikat abgelaufen und wurde nicht rechtzeitig ersetzt. Dies kann man an durch einen Check des Gültigkeitsdatum erkennen. Das damit verbundene Risiko ist moderat, da das auf schlechte Wartungsprozesse (die auch ein Risiko sind) aber nicht auf einen Angriffsversuch durch gefälschte Zertifikate hindeutet. Wie bei Lebensmitteln kann man aber die Faustregel ansetzen: je länger das Zertifikat abgelaufen ist (und sich niemand um eine Erneuerung gekümmert hat) desto höher das Sicherheitsrisiko.
• Falscher Pfadname oder Domainname
  Ein Zertifikat wird für einen bestimmten Server ausgestellt. Wenn der tatsächliche Server und der im Zertifikat hinterlegte nicht zusammen passen, kommt es zu dieser Art Fehlermeldung. Diese Meldung ist schon kritischer. Hier muss man sich schon etwas mit dem DNS System auskennen, um das Risiko zu beurteilen. Auch hier kann die Ursache schlechte Wartung oder Unvorsichtigkeit beim Betreiber sein. Vielleicht wurde der Server umgezogen, ohne das Zertifikat zu erneuern oder ein Testzertifikat für die produktive Instanz weiter verwendet usw. Ein relativ häufiger Fehler ist dabei, ein Zertifikat auch für Unterdomänen zu verwenden, z. B. ein Zertifikat für Beispielbank.com auch für Onlinebanking.Beispielbank.com zu nutzen, was aber nicht das gleiche ist. In so einem Fall liegt die Vermutung nah, dass da „nur“ geschlampert wurde. Es gibt auch sogenannte Wildcard (*) Zertifikate, die auch für solche Unterdomains gelten, aber die sind vergleichsweise teuer. Aber Vorsicht: Eine Unterdomäne ist das nur, wenn in der URL die dranhängende Domäne vollständig übereinstimmt - und zwar von links aus gesehen ab dem ersten Slash (im Beispiel / markiert) von diesem dann von rechts nach links gelesen. Der erste / fungiert als Trennzeichen, ab dem Verzeichnisse an die Domäne angehängt werden. Beispiele:
• Unterdomäne.Domäne.topleveldomäne/irgendeine Verzeichnisstruktur/Unterverzeichnis gehört zur Domäne.topleveldomäne/irgendeine andere Verzeichnisstruktur oder
• service.webadresse.de/KundeA/Ablage/... ist Unterdomäne von webadresse.de/Sonderbereich-KundeB/Ablage/... Unterdomänen sind immer links davor gestellt, keinesfalls rechts angehängt. Wenn von rechts gelesen eine ganz andere Domain im Pfad auftaucht als die, für die das Zertifikat gilt, sollten spätestens die Alarmglocken schrillen, etwa statt Beispielbank.com die URL Beispielbank.com.Onlinebanking.sonstwo…..
• Unbekannter Aussteller
  Eine weitere Ursache sind Warnungen, weil der Austeller des Zertifikats also die CA dem Browser nicht bekannt ist, also deren Root Zertifikat nicht standardmäßig im Browser hinterlegt ist. Auch hier ist erhöhte Vorsicht geboten, denn woher soll man wissen, wer das Zertifikat ausgestellt hat und wie vertrauenswürdig diese Instanz ist? Grundsätzlich sollte ein unbekannter Aussteller mit größtem Misstrauen behandelt werden.

Neben Betrugs- und Angriffsversuchen kann es aber auch harmlose Gründe für die Warnung geben, etwa die Nutzung von selbstsignierten Zertifikaten zu Testzwecken oder die angedachte Verwendung in einem limitierten (idealerweise eingeweihten) Benutzerkreis. Vielleicht geht es dem Aussteller ja gar nicht darum, Dritten gegenüber seine Identität nachzuweisen, sondern nur um die Bereitstellung einer TLS Verschlüsselungsoption für eine untereinander bekannte geschlossene Benutzergruppe, z. B. Mitglieder, die sich auf ihren Vereinsserver einloggen möchten. Auch CAcert, eine CA, die kostenlose Zertifikate auf Basis des Web of Trust ausstellt, hat die Aufnahmeprozeduren für die Default-Installation in die Browser noch nicht erfüllt. Bei solchen CAs kann man versuchen, das sogenannte Certfication Practise Statement (CPS) der CA zu studieren, das deren Selbstauskunft darstellt, wie diese CA arbeitet und ihre Prozesse absichert. Ist das CPS überhaupt vorhanden und auf der Webseite auffindbar und entspricht der RFC Norm 6484, ist das schon mal ein vertrauensbildendes Zeichen.

Dass eine CA nicht standardmäßig im Browser installiert ist, muss also nicht zwingend eine Gefahr bedeuten, sollte aber zu besonderer Vorsicht gemahnen. Ob man umgekehrt als Benutzer der Vorauswahl "vertrauenswürdiger" vorinstallierter CAs der Browserhersteller blind vertrauen mag, ist aber auch eine Frage des persönlichen Vertrauensmodells (trau schau wem). Microsofts Internet Explorer fragt inzwischen nicht einmal mehr nach, wenn er die CA Liste im stillen Hintergrundprozess erweitert.