 "AA_siegel_PO4619-FotoClip.png")
Haben Sie schon einmal Homebanking oder einen Onlineshop genutzt, dann kennen Sie es – das kleine unscheinbare Schloss im Browser, das anzeigt, dass die Seite verschlüsselt übertragen wird (Abbildung 1). Auch E-Mails (Abbildung 2) lassen sich durch Kryptographie schützen. Dabei kommt ein Protokoll namens SSL beziehungsweise dessen Nachfolger TLS zum Einsatz. Es erfüllt zweierlei Funktionen: Zum einen stellt es die starke Verschlüsselung der Inhalte sicher, um das Abhören der Daten durch Unbefugte zu unterbinden. Zum anderen identifiziert es auf Basis von Zertifikaten den Betreiber der Webseite oder den Absender der E-Mail: Was nützt das schönste Zertifikat, wenn es einem Betrüger gehört, der in den Besitz Ihrer Kreditkartendaten gelangen möchte?
Abbildung 1: Sowohl Webseiten als auch …
Abbildung 2: … E-Mails lassen sich mit Zertifikaten signieren.
Genau an diesem Punkt setzen die Zertifizierungsstellen, die so genannten Certificate Authorities (kurz: CAs) an. Sie beglaubigen die Identität des Antragsstellers und stellen ihm die gewünschten Zertifikate aus, die sie mit ihren Stammzertifikaten unterschreiben. Das funktioniert ähnlich wie bei einer notariellen Beglaubigung: Nach Überprüfung anhand amtlicher Dokumente wie Personalausweis, Reisepass oder Führerschein beglaubigt der Notar das Dokument per Siegel, sodass Dritte sichergehen können, dass es auch vom Aussteller stammt. Doch ähnlich wie beim Notar handelt es sich auch bei der elektronischen Beglaubigung um ein aufwändiges Verfahren, das entsprechend kostspielig ist.
Stammzertifikate
So verwundert es nicht, dass die meisten Zertifizierungsstellen nach wie vor bis zu mehreren hundert Euro für ein Zertifikat verlangen. Lassen Sie sich beispielsweise direkt bei Verisign, einem der ältesten und bekanntesten Anbieter von Zertifikaten, ein Serverzertifikat ausstellen, so bezahlen Sie dafür mindestens 399 US-Dollar – pro Jahr und Adresse, versteht sich. Dabei haben Sie immerhin die Gewissheit, dass Ihre sichere Verbindung in allen gängigen Browsern, E-Mail-Programmen und Betriebssystemen funktioniert.
Denn ähnlich wie beim Notar muss auch bei SSL-Zertifikaten die Glaubwürdigkeit des Ausstellers sichergestellt sein. Ein unzuverlässiger Notar, der jede beliebige Identität bescheinigt, richtet ebensoviel Schaden an wie eine Zertifizierungsstelle, die ihre Antragsteller nicht gewissenhaft überprüft. Stellen Sie sich vor, jemand beantragt ein Zertifikat im Namen Ihrer Hausbank und lenkt deren Webseite auf seine eigene um – die Folgen wären fatal. Aus diesem Grund bringen alle aktuellen Programme, die mit SSL arbeiten, die Stammzertifikate vertrauenswürdiger Anbieter gleich mit.
Das Problem dabei: Gerade die Browserhersteller stellen recht enge Anforderungen an die akzeptierten Zertifizierungsstellen. Eine hohe Versicherungssumme und ein teures Audit sind Pflicht und kosten viel Geld. Das führt dazu, dass einige wenige Anbieter den Markt beherrschen und entsprechend hohe Preise verlangen. Stößt der Browser auf das Zertifikat eines anderen Herausgebers, so schlägt er Alarm. Insbesondere der neue Firefox 3 warnt den Benutzer eindringlich vor solch vermeintlich ungeprüften Seiten (Abbildung 3). Bei E-Mails tritt dieses Problem in verschärfter Form auf: Hier führt schon das Öffnen einer mit dem "falschen" Zertifikat versehenen Nachricht zu einer deutlichen Warnung, die die Identität des Absenders anzweifelt.
Abbildung 3: Die Warnungen des Browsers sind nicht immer gerechtfertigt.
Nicht immer handelt es sich dabei um berechtigte Warnungen, denn auch legitime Seiten, die ihre Zertifikate selbst ausstellen, lösen einen solchen Alarm aus, obwohl auch sie die Daten verschlüsselt übertragen. Die unvermeidliche Folge: Viele Betreiber von Webseiten und E-Mail-Nutzer installieren lieber gar kein Zertifikat und setzen so sich und ihre Kommunikationspartner einer großen Gefahr aus, sobald sensible Daten hin und her wandern. Jeder Foren-Login, jede Webmail, jeder Chat und jede vertrauliche Nachricht sollte besser verschlüsselt übertragen werden.
Kleiner SSL-Wortschatz
Zertifikat: Ein Zertifikat beurkundet die Identität seines Inhabers. Dieser signiert damit beispielsweise seine Webseite, eine E-Mail oder ein Programm.
Zertifizierungsstelle: Zertifizierungsstellen (auch CA, "Certificate Authority") bieten die Zertifikate an und beglaubigen sie.
Stammzertifikat: Jede Zertifizierungsstelle verfügt über ein oder mehrere Stammzertifikate, die wie ein Siegel funktionieren.
Zertifikatsspeicher: Die Stammzertifikate aller vertrauenswürdigen Zertifizierungsstellen sind in den gängigen Browsern, E-Mail-Programmen und Betriebssystemen hinterlegt. Nur durch sie wissen die Programme, welche Anbieter glaubwürdig sind und welche nicht.
S/MIME: Die Nutzung von SSL-Zertifikaten in Mailprogrammen bezeichnet man auch als S/MIME.
Die Qual der Wahl
Falls Sie nun glauben, bei kommerziellen Anbietern bekämen Sie besonders sichere Zertifikate, dann täuschen Sie sich leider. Zertifizierung hat sich zum Massengeschäft entwickelt: Viele Anbieter überprüfen mittlerweile gar keine Identitäten mehr, sondern verlangen nur noch eine Verifikation per E-Mail, die im schlimmsten Fall auch unbefugte Dritte erlangen können. Gerade dann, wenn Sie die Zertifikate lediglich privat oder für eine kleine Firma einsetzen, macht es daher aus wirtschaftlicher Sicht oft Sinn, eine günstige oder gar kostenfreie Zertifizierungsstelle zu wählen.
Die Daten werden so oder so durch starke Kryptographie geschützt, und bei geschickter Wahl merken die Benutzer ihrer Website und die Empfänger Ihrer E-Mails gar nichts davon, dass Sie kein teures Zertifikat gekauft haben. Möchten Sie allerdings einen Onlineshop oder kritische Anwendungen durch SSL absichern, dann sollten Sie den Einsatz einer günstigen Zertifizierungsstelle gut überdenken: Teurere Angebote umfassen meist eine Versicherung gegen Datenmissbrauch, die sich im Unglücksfall oft als sinnvoll erweist. Zudem steht bei der Nutzung freier oder günstiger Anbieter immer die Haftungsfrage im Raum, falls es doch einmal zu Sicherheitsproblemen kommen sollte.
In diesem Artikel stellen wir Ihnen drei exemplarisch ausgesuchte Anbieter vorstellen: CACert [1] als kostenfreie Community-Zertifizierungsstelle, StartSSL [2] als preisgünstigen Allrounder und Thawte [3], bei dessen Betrachtung wir uns auf die kostenfreien E-Mail-Zertifikate beschränken.
Zertifizierungsstellen im Vergleich
|
| CACert | StartSSL | Thawte (nur E-Mail) |
|---|---|---|---|
| Preis | grundsätzlich kostenfrei, aber Validierung einer Firma oder Organisation kostet eine geringe Gebühr | grundsätzlich kostenfrei, Validierungen kosten zwischen 29,95 und 59,90 US-Dollar pro Jahr | kostenfrei |
| Web of Trust | X | nur für E-Mail | X |
| Angebot | |||
| E-Mail-Zertifikate | X | X | X |
| Server-Zertifikate | X | X | – |
| Multi-Domain-Zertifikate | X | im kostenpflichtigen Angebot | – |
| Wildcard-Zertifikate | X | im kostenpflichtigen Angebot | – |
| Code Signing-Zertifikate | nach gesonderter, kostenfreier Freischaltung | im kostenpflichtigen Angebot | – |
| Erkannt von Browser | |||
| Internet Explorer 8 | – | – | – |
| Firefox 3.0 | – | X | – |
| Safari 3.2 | – | X | – |
| Opera 9.6 | – | – | – |
| Erkannt von E-Mail-Client | |||
| Thunderbird 2.0 | – | X | X |
| Outlook Express 6 / Windows Mail | – | – | X |
| Outlook 2007 | – | – | X |
Thawte – eine der ältesten Zertifizierungsstellen überhaupt – offeriert vielfältige Arten von Zertifikaten, meist gegen entsprechende Gebühr. Ein sehr interessantes Angebot stellen indes die so genannten "Personal Freemail Certificates" dar: Damit beantragen Sie binnen Minuten völlig kostenfrei Ihr eigenes Zertifikat zum Unterschreiben von E-Mails, das von den meisten Programmen akzeptiert wird. Dazu müssen Sie online lediglich ein paar persönliche Daten eingeben und Ihre E-Mail-Adresse verifizieren. Per Web of Trust (siehe unten) können Sie auch Ihren Namen in die Zertifikate eintragen lassen.
StartSSL, ein junges Unternehmen aus Israel, betreibt seit einiger Zeit eine eigene Zertifizierungsstelle. Das Basisangebot von StartSSL bleibt kostenfrei, dennoch akzeptieren viele Programme die Zertifikate. So integrieren Firefox und Safari bereits seit einiger Zeit das StartSSL-Stammzertifikat, das selbe gilt für Thunderbird. Die Windows-Programm Internet Explorer und Outlook hingegen quittieren StartSSL nur mit einer Warnung. Neben reinen E-Mail-Zertifikaten offeriert StartSSL auch Server-Zertifikate. Für einen geringen jährlichen Obulus erhalten Sie bei StartSSL sogar Code-Signing-Zertifikate, Zertifikate mit mehreren Domains oder Wildcard-Zertifikate (*.domain
.tld
) beantragen. Dabei fallen pro Jahr und Nutzer, unabhängig von der Zahl der Domains, maximal 29,95 bis 59,90 US-Dollar Gebühr an.
Bei CACert handelt es sich um ein rein Community-gestütztes Projekt ohne kommerzielle Interessen. Leider führt das dazu, dass bislang kein Browser und kein E-Mail-Programm CACert als gültige Zertifizierungsstelle akzeptieren, denn die dazu erforderlichen Audits kosten viel Geld. Nach eigenem Bekunden arbeitet CACert aber daran, dennoch als vertrauenswürdige CA anerkannt zu werden – dabei dürfte es sich nur noch um eine Frage der Zeit handeln. Für den Einsatz unter Kennern eignet sich CACert bereits jetzt sehr gut, da es über viele Funktionen verfügt und auch ohne offizielles Audit als sehr sicher und vertrauenswürdig gilt.
Einem Freund empfehlen
