AA_siegel_PO4619-FotoClip.png

© Fotoclip

Der Weg zum eigenen SSL-Zertifikat

Brief und Siegel

Das SSL-Protokoll ist aus dem Internet nicht mehr wegzudenken – sei es, um Daten zu verschlüsseln oder um mittels Zertifikaten auch deren Herkunft sicherzustellen. Wir zeigen, wie Sie schnell und günstig an ein eigenes Zertifikat kommen.

Haben Sie schon einmal Homebanking oder einen Onlineshop genutzt, dann kennen Sie es – das kleine unscheinbare Schloss im Browser, das anzeigt, dass die Seite verschlüsselt übertragen wird (Abbildung 1). Auch E-Mails (Abbildung 2) lassen sich durch Kryptographie schützen. Dabei kommt ein Protokoll namens SSL beziehungsweise dessen Nachfolger TLS zum Einsatz. Es erfüllt zweierlei Funktionen: Zum einen stellt es die starke Verschlüsselung der Inhalte sicher, um das Abhören der Daten durch Unbefugte zu unterbinden. Zum anderen identifiziert es auf Basis von Zertifikaten den Betreiber der Webseite oder den Absender der E-Mail: Was nützt das schönste Zertifikat, wenn es einem Betrüger gehört, der in den Besitz Ihrer Kreditkartendaten gelangen möchte?

Abbildung 1: Sowohl Webseiten als auch …
Abbildung 2: … E-Mails lassen sich mit Zertifikaten signieren.

Genau an diesem Punkt setzen die Zertifizierungsstellen, die so genannten Certificate Authorities (kurz: CAs) an. Sie beglaubigen die Identität des Antragsstellers und stellen ihm die gewünschten Zertifikate aus, die sie mit ihren Stammzertifikaten unterschreiben. Das funktioniert ähnlich wie bei einer notariellen Beglaubigung: Nach Überprüfung anhand amtlicher Dokumente wie Personalausweis, Reisepass oder Führerschein beglaubigt der Notar das Dokument per Siegel, sodass Dritte sichergehen können, dass es auch vom Aussteller stammt. Doch ähnlich wie beim Notar handelt es sich auch bei der elektronischen Beglaubigung um ein aufwändiges Verfahren, das entsprechend kostspielig ist.

Stammzertifikate

So verwundert es nicht, dass die meisten Zertifizierungsstellen nach wie vor bis zu mehreren hundert Euro für ein Zertifikat verlangen. Lassen Sie sich beispielsweise direkt bei Verisign, einem der ältesten und bekanntesten Anbieter von Zertifikaten, ein Serverzertifikat ausstellen, so bezahlen Sie dafür mindestens 399 US-Dollar – pro Jahr und Adresse, versteht sich. Dabei haben Sie immerhin die Gewissheit, dass Ihre sichere Verbindung in allen gängigen Browsern, E-Mail-Programmen und Betriebssystemen funktioniert.

Denn ähnlich wie beim Notar muss auch bei SSL-Zertifikaten die Glaubwürdigkeit des Ausstellers sichergestellt sein. Ein unzuverlässiger Notar, der jede beliebige Identität bescheinigt, richtet ebensoviel Schaden an wie eine Zertifizierungsstelle, die ihre Antragsteller nicht gewissenhaft überprüft. Stellen Sie sich vor, jemand beantragt ein Zertifikat im Namen Ihrer Hausbank und lenkt deren Webseite auf seine eigene um – die Folgen wären fatal. Aus diesem Grund bringen alle aktuellen Programme, die mit SSL arbeiten, die Stammzertifikate vertrauenswürdiger Anbieter gleich mit.

Das Problem dabei: Gerade die Browserhersteller stellen recht enge Anforderungen an die akzeptierten Zertifizierungsstellen. Eine hohe Versicherungssumme und ein teures Audit sind Pflicht und kosten viel Geld. Das führt dazu, dass einige wenige Anbieter den Markt beherrschen und entsprechend hohe Preise verlangen. Stößt der Browser auf das Zertifikat eines anderen Herausgebers, so schlägt er Alarm. Insbesondere der neue Firefox 3 warnt den Benutzer eindringlich vor solch vermeintlich ungeprüften Seiten (Abbildung 3). Bei E-Mails tritt dieses Problem in verschärfter Form auf: Hier führt schon das Öffnen einer mit dem "falschen" Zertifikat versehenen Nachricht zu einer deutlichen Warnung, die die Identität des Absenders anzweifelt.

Abbildung 3: Die Warnungen des Browsers sind nicht immer gerechtfertigt.

Nicht immer handelt es sich dabei um berechtigte Warnungen, denn auch legitime Seiten, die ihre Zertifikate selbst ausstellen, lösen einen solchen Alarm aus, obwohl auch sie die Daten verschlüsselt übertragen. Die unvermeidliche Folge: Viele Betreiber von Webseiten und E-Mail-Nutzer installieren lieber gar kein Zertifikat und setzen so sich und ihre Kommunikationspartner einer großen Gefahr aus, sobald sensible Daten hin und her wandern. Jeder Foren-Login, jede Webmail, jeder Chat und jede vertrauliche Nachricht sollte besser verschlüsselt übertragen werden.

Kleiner SSL-Wortschatz

Zertifikat: Ein Zertifikat beurkundet die Identität seines Inhabers. Dieser signiert damit beispielsweise seine Webseite, eine E-Mail oder ein Programm.

Zertifizierungsstelle: Zertifizierungsstellen (auch CA, "Certificate Authority") bieten die Zertifikate an und beglaubigen sie.

Stammzertifikat: Jede Zertifizierungsstelle verfügt über ein oder mehrere Stammzertifikate, die wie ein Siegel funktionieren.

Zertifikatsspeicher: Die Stammzertifikate aller vertrauenswürdigen Zertifizierungsstellen sind in den gängigen Browsern, E-Mail-Programmen und Betriebssystemen hinterlegt. Nur durch sie wissen die Programme, welche Anbieter glaubwürdig sind und welche nicht.

S/MIME: Die Nutzung von SSL-Zertifikaten in Mailprogrammen bezeichnet man auch als S/MIME.

Die Qual der Wahl

Falls Sie nun glauben, bei kommerziellen Anbietern bekämen Sie besonders sichere Zertifikate, dann täuschen Sie sich leider. Zertifizierung hat sich zum Massengeschäft entwickelt: Viele Anbieter überprüfen mittlerweile gar keine Identitäten mehr, sondern verlangen nur noch eine Verifikation per E-Mail, die im schlimmsten Fall auch unbefugte Dritte erlangen können. Gerade dann, wenn Sie die Zertifikate lediglich privat oder für eine kleine Firma einsetzen, macht es daher aus wirtschaftlicher Sicht oft Sinn, eine günstige oder gar kostenfreie Zertifizierungsstelle zu wählen.

Die Daten werden so oder so durch starke Kryptographie geschützt, und bei geschickter Wahl merken die Benutzer ihrer Website und die Empfänger Ihrer E-Mails gar nichts davon, dass Sie kein teures Zertifikat gekauft haben. Möchten Sie allerdings einen Onlineshop oder kritische Anwendungen durch SSL absichern, dann sollten Sie den Einsatz einer günstigen Zertifizierungsstelle gut überdenken: Teurere Angebote umfassen meist eine Versicherung gegen Datenmissbrauch, die sich im Unglücksfall oft als sinnvoll erweist. Zudem steht bei der Nutzung freier oder günstiger Anbieter immer die Haftungsfrage im Raum, falls es doch einmal zu Sicherheitsproblemen kommen sollte.

In diesem Artikel stellen wir Ihnen drei exemplarisch ausgesuchte Anbieter vorstellen: CACert [1] als kostenfreie Community-Zertifizierungsstelle, StartSSL [2] als preisgünstigen Allrounder und Thawte [3], bei dessen Betrachtung wir uns auf die kostenfreien E-Mail-Zertifikate beschränken.

Zertifizierungsstellen im Vergleich

  CACert StartSSL Thawte (nur E-Mail)
Preis grundsätzlich kostenfrei, aber Validierung einer Firma oder Organisation kostet eine geringe Gebühr grundsätzlich kostenfrei, Validierungen kosten zwischen 29,95 und 59,90 US-Dollar pro Jahr kostenfrei
Web of Trust X nur für E-Mail X
Angebot
E-Mail-Zertifikate X X X
Server-Zertifikate X X
Multi-Domain-Zertifikate X im kostenpflichtigen Angebot
Wildcard-Zertifikate X im kostenpflichtigen Angebot
Code Signing-Zertifikate nach gesonderter, kostenfreier Freischaltung im kostenpflichtigen Angebot
Erkannt von Browser
Internet Explorer 8
Firefox 3.0 X
Safari 3.2 X
Opera 9.6
Erkannt von E-Mail-Client
Thunderbird 2.0 X X
Outlook Express 6 / Windows Mail X
Outlook 2007 X

Thawte – eine der ältesten Zertifizierungsstellen überhaupt – offeriert vielfältige Arten von Zertifikaten, meist gegen entsprechende Gebühr. Ein sehr interessantes Angebot stellen indes die so genannten "Personal Freemail Certificates" dar: Damit beantragen Sie binnen Minuten völlig kostenfrei Ihr eigenes Zertifikat zum Unterschreiben von E-Mails, das von den meisten Programmen akzeptiert wird. Dazu müssen Sie online lediglich ein paar persönliche Daten eingeben und Ihre E-Mail-Adresse verifizieren. Per Web of Trust (siehe unten) können Sie auch Ihren Namen in die Zertifikate eintragen lassen.

StartSSL, ein junges Unternehmen aus Israel, betreibt seit einiger Zeit eine eigene Zertifizierungsstelle. Das Basisangebot von StartSSL bleibt kostenfrei, dennoch akzeptieren viele Programme die Zertifikate. So integrieren Firefox und Safari bereits seit einiger Zeit das StartSSL-Stammzertifikat, das selbe gilt für Thunderbird. Die Windows-Programm Internet Explorer und Outlook hingegen quittieren StartSSL nur mit einer Warnung. Neben reinen E-Mail-Zertifikaten offeriert StartSSL auch Server-Zertifikate. Für einen geringen jährlichen Obulus erhalten Sie bei StartSSL sogar Code-Signing-Zertifikate, Zertifikate mit mehreren Domains oder Wildcard-Zertifikate (*.domain.tld) beantragen. Dabei fallen pro Jahr und Nutzer, unabhängig von der Zahl der Domains, maximal 29,95 bis 59,90 US-Dollar Gebühr an.

Bei CACert handelt es sich um ein rein Community-gestütztes Projekt ohne kommerzielle Interessen. Leider führt das dazu, dass bislang kein Browser und kein E-Mail-Programm CACert als gültige Zertifizierungsstelle akzeptieren, denn die dazu erforderlichen Audits kosten viel Geld. Nach eigenem Bekunden arbeitet CACert aber daran, dennoch als vertrauenswürdige CA anerkannt zu werden – dabei dürfte es sich nur noch um eine Frage der Zeit handeln. Für den Einsatz unter Kennern eignet sich CACert bereits jetzt sehr gut, da es über viele Funktionen verfügt und auch ohne offizielles Audit als sehr sicher und vertrauenswürdig gilt.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • HTTPS für alle
    Das Projekt Let's Encrypt ermöglicht es Ihnen, SSL-Zertifikate kostenlos, schnell und unkompliziert zu erstellen.
  • Vertrauensfragen
    Mit den richtigen Tools und Einstellungen wird E-Mail-Verschlüsselung zum Kinderspiel: S/MIME bildet den Rahmen für die sichere Kommunikation, Thunderbird betätigt sich als Mailclient.
  • S/MIME und PGP mit Thunderbird
    Entgegen der allgemeinen Auffassung ist E-Mail alles andere als ein Medium mit Privatsphäre. Die Nachrichten sind so geheim wie jede beliebige Postkarte. Mit den richtigen Hilfsmitteln sorgen Sie dennoch für Vertraulichkeit.
  • S/MIME und PGP mit Thunderbird
    Entgegen der allgemeinen Auffassung ist E-Mail alles andere als ein Medium mit Privatsphäre. Die Nachrichten sind so geheim wie jede beliebige Postkarte. Mit den richtigen Hilfsmitteln sorgen Sie dennoch für Vertraulichkeit.
  • CeBIT: Grünen-Vorsitzender Bütikofer im LinuxPark
Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Broadcom Adapter 802.11n nachinstallieren
Thomas Mengel, 31.10.2017 20:06, 2 Antworten
Hallo, kann man nachträglich auf einer Liveversion, MX Linux auf einem USB-Stick, nachträglich...
RUN fsck Manually / Stromausfall
Arno Krug, 29.10.2017 12:51, 1 Antworten
Hallo, nach Absturz des Rechners aufgrund fehlendem Stroms startet Linux nicht mehr wie gewohn...
source.list öffnet sich nicht
sebastian reimann, 27.10.2017 09:32, 2 Antworten
hallo Zusammen Ich habe das problem Das ich meine source.list nicht öffnen kann weiß vlt jemman...
Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 6 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...