21. November 2016

Selbstsignierte Zertifikate - Eine Alternative?

Früher war es alles einfacher, oder?

Wenn man sich eine neue Webseite (Firmenwebseite, private Blogs, etc. pp.) erstellen wollte, hat man einfach bei dem Anbieter seines Vertrauens ein Paket inkl. Domain gebucht und innerhalb kurzer Zeit war die Webseite online.

Na gut, heutzutage ist es immer noch so.

Mit einem kleinen Unterschied.

Heutzutage haben die Webseitenbetreiber etwas mehr Bewusstsein für Datensicherheit. Spätestens, wenn man mit personenbezogenen Daten in Berührung kommt, sollte man ein SSL (eigentlich TSL) Zertifikat innerhalb vom Webauftritt einbauen.

So, genug geschwafelt! Und eigentlich geht es hier gar nicht darum was TSL bzw. SSL ist oder wann man es einsetzen sollte, sondern eher um die selbstsignierte Zertifikate.

Den schaut man sich mal den Markt an, so sind da draußen teilweise enorme Preise für das Ausstellen eines Zertifikats.

Bedenkt man jedoch den Aufwand, der dafür notwendig ist, steht das im absolut keinem Verhältnis! Bestes Beispiel dafür ist die Laufzeit. Bei der Bundesdruckerei (übrigens die einzige "echte" Deutsche Zertifizierungsstelle) kostet z.B. so ein Zertifikat 109€ für 2 Jahre bzw. 179€ für 4 Jahre. 70€ also nur dafür, dass man ein Parameter beim Erstellen des Zertifikats ändert.

Unternehmen mit einem bekannteren Namen, verlangen dafür übrigens noch mehr! GlobalSign verkauft ein Jahreszertifikat für "nur" $349.

Besonders im privaten Umfeld ist die Verführung groß sich so ein Zertifikat selbst zu erstellen.

Selbstsignierte Zertifikate im Internet

Wenn du auf die Idee kommst, ein Zertifikat selbst zu signieren, bedankt sich dein Browser mit einer schönen Fehlermeldung:

selbstsigniertes zertifikat im Einsatz

Doch selbst wenn man auf "Ausnahme hinzufügen" klickt und damit das Zertifikat akzeptiert, geben einige Browser immer noch eine Fehlermeldung aus und sagen, dass dieses Zertifikat unsicher ist.

Jetzt könnte man meinen, dass die Browserhersteller die Leute ärgern möchten und die Nutzung explizit verbiete.

Den eigentlich ist es doch egal ob selbstsigniert oder von einer zertifizierten Stelle, oder nicht?

NEIN!

Wäre dem so, dann gäbe es diese Firmen nicht. Ja, die Verbindung ist sicher. Die Daten werden verschlüsselt übertragen, das stimmt auch alles.

Die Kernaussage eines SSL Zertifikats ist ja eigentlich, dass eine Zertifizierungsstelle sagt, dass mit dieser Webseite alles in Ordnung ist.

Erscheint mir die obere Meldung also im Web, dann ist gerade irgendwas im Argen. Entweder wurde die Webseite gehackt oder du bist ein Hacking-Opfer!

Merke: Selbstsignierte Zertifikate haben im Web absolut nichts zu suchen! Der Großteil der Besucher wird deine Seite bei solch einem Empfang direkt wieder verlassen.

Selbstsignierte Zertifikate im Intranet

Was ist aber, wenn man eine Webseite im internen Netzwerk signieren möchte? Sind die Zertifikate da legitim?

Jain.

Als ein etwas paranoider IT Administrator in einer größeren Firma könnte man auf die Idee kommen jeden Web Service im Intranet über SSL laufen zu lassen. Grundsätzlich ist das OK, aber dann kommt da immer wieder diese schöne Meldung.

Die naheliegende Lösung ist den Mitarbeitern zu sagen, dass sie das Zertifikat einfach akzeptieren sollen.

Und was machen die dann Zuhause beim Online Banking wenn diese Meldung kommt?

Genau!

Sie klicken auf "Ausnahme hinzufügen" und ignorieren den Fehler. Sie haben sich ja bereits gelernt diese Art von Meldungen zu ignorieren und wissen ganz genau, wie diese umgangen werden kann. Noch schlimmer ist es, wenn diese Meldungen Positives eingestuft werden würden "Juhu, die Übertragung ist gesichert. Dann kann ja nichts schief gehen."

Firmenweite Zertifizierungsstelle

In einer Firma werden stets wichtige Kundedaten hin und her geschickt. Für einen Angreifer kann es relativ einfach sein sich in das System einzuschleusen und mittels einer Man-in-the-Middle Attacke die Kundendaten abzufangen oder sogar zu verändern.

Dabei kommt es auch drauf an, ob man bspw. bei einer Bank oder einem Versicherungsmakler arbeitet. Wenn bei einer Bank die Kontodaten alle unverschlüsselt über die Leitung gejagt werden, grenzt es schon an Fahrlässigkeit.

Abhilfe schafft eine Firmenweite Certificate Authority (CA-Zertifikat).

Der große Vorteil dabei ist, dass man den Verschlüsselungsgrad selbst bestimmen kann. So kannst du als Administrator mal eben eine 4096-bit-Verschlüsselung verwenden. "Handelsübliche" Zertifikate haben eine Verschlüsselung von "nur" 256 bit.

Dieses Hauptzertifikat man dann nur noch auf allen Rechnern ausgerollt und installiert werden. Alle weiteren Zertifikate die gegen das CA Zertifikat signiert wurden, werden dann automatisch als vertrauenswürdig eingestuft. Das Ergebnis: Der Browser zeigt nicht mehr die obere Meldung an!

Gibt es Alternativen?

Früher war halt doch nicht alles besser 😃

Da gab es genau 3 Möglichkeiten für eine gesicherte https Webseite:

  1. Viel Geld ausgeben
  2. Mit der Fehlermeldung bzw. Warnung leben
  3. Auf HTTPS verzichten.

Heutzutage ist man da weiter und es gibt zwei mir bekannte Dienste, die ein kostenloses SSL Zertifikat ausstellen.

Das wäre zum einen StartCom. Und zum andere gibt es noch Let's Encrypt.

Nachtrag:

Aus aktuellem Anlass sollten alle StartCom Zertifikate durch andere (z.B. Let's Encrypt) Zertifikate ersetzt werden. Näheres dazu unter:

Fazit

Während ein selbstsigniertes Zertifikat im Internet absolut nichts zu suchen hat, macht es im internen Netzwerk wieder durchaus Sinn.

Dabei muss man natürlich beachten, dass alle Rahmenbedingungen für das Zertifikat erfüllt worden sind.

Der Benutzer darf zu keiner Zeit eine Meldung sehen, es handle sich angeblich um ein unsicheres Zertifikat.

Die Benutzer dürfen eben nicht dahingehend erzogen werden ein unsicheres Zertifikat zuzulassen und so tun, als ob nichts wäre. Nur damit die Webseite geladen werden kann.

Wenn dir das gefallen hat, wirst du diese Artikel lieben!

Die neuesten Artikel, die du gelesen haben musst!

teilen

Noch mehr privux?

Verpasse keine spannende Beiträge & Tutorials mehr!

Jetzt kostenlosen Newsletter abonieren!

Jetzt newsletter abonieren