Das SSL-Protokoll ist aus dem Internet nicht mehr wegzudenken – sei es, um Daten zu verschlüsseln oder um mittels Zertifikaten auch deren Herkunft sicherzustellen. Wir zeigen, wie Sie schnell und günstig an ein eigenes Zertifikat kommen.
Haben Sie schon einmal Homebanking oder einen Onlineshop genutzt, dann kennen Sie es – das kleine unscheinbare Schloss im Browser, das anzeigt, dass die Seite verschlüsselt übertragen wird (Abbildung 1). Auch E-Mails (Abbildung 2) lassen sich durch Kryptographie schützen. Dabei kommt ein Protokoll namens SSL beziehungsweise dessen Nachfolger TLS zum Einsatz. Es erfüllt zweierlei Funktionen: Zum einen stellt es die starke Verschlüsselung der Inhalte sicher, um das Abhören der Daten durch Unbefugte zu unterbinden. Zum anderen identifiziert es auf Basis von Zertifikaten den Betreiber der Webseite oder den Absender der E-Mail: Was nützt das schönste Zertifikat, wenn es einem Betrüger gehört, der in den Besitz Ihrer Kreditkartendaten gelangen möchte?
Abbildung 1: Sowohl Webseiten als auch …
Abbildung 2: … E-Mails lassen sich mit Zertifikaten signieren.
Genau an diesem Punkt setzen die Zertifizierungsstellen, die so genannten Certificate Authorities (kurz: CAs) an. Sie beglaubigen die Identität des Antragsstellers und stellen ihm die gewünschten Zertifikate aus, die sie mit ihren Stammzertifikaten unterschreiben. Das funktioniert ähnlich wie bei einer notariellen Beglaubigung: Nach Überprüfung anhand amtlicher Dokumente wie Personalausweis, Reisepass oder Führerschein beglaubigt der Notar das Dokument per Siegel, sodass Dritte sichergehen können, dass es auch vom Aussteller stammt. Doch ähnlich wie beim Notar handelt es sich auch bei der elektronischen Beglaubigung um ein aufwändiges Verfahren, das entsprechend kostspielig ist.
Stammzertifikate
So verwundert es nicht, dass die meisten Zertifizierungsstellen nach wie vor bis zu mehreren hundert Euro für ein Zertifikat verlangen. Lassen Sie sich beispielsweise direkt bei Verisign, einem der ältesten und bekanntesten Anbieter von Zertifikaten, ein Serverzertifikat ausstellen, so bezahlen Sie dafür mindestens 399 US-Dollar – pro Jahr und Adresse, versteht sich. Dabei haben Sie immerhin die Gewissheit, dass Ihre sichere Verbindung in allen gängigen Browsern, E-Mail-Programmen und Betriebssystemen funktioniert.
Denn ähnlich wie beim Notar muss auch bei SSL-Zertifikaten die Glaubwürdigkeit des Ausstellers sichergestellt sein. Ein unzuverlässiger Notar, der jede beliebige Identität bescheinigt, richtet ebensoviel Schaden an wie eine Zertifizierungsstelle, die ihre Antragsteller nicht gewissenhaft überprüft. Stellen Sie sich vor, jemand beantragt ein Zertifikat im Namen Ihrer Hausbank und lenkt deren Webseite auf seine eigene um – die Folgen wären fatal. Aus diesem Grund bringen alle aktuellen Programme, die mit SSL arbeiten, die Stammzertifikate vertrauenswürdiger Anbieter gleich mit.
Das Problem dabei: Gerade die Browserhersteller stellen recht enge Anforderungen an die akzeptierten Zertifizierungsstellen. Eine hohe Versicherungssumme und ein teures Audit sind Pflicht und kosten viel Geld. Das führt dazu, dass einige wenige Anbieter den Markt beherrschen und entsprechend hohe Preise verlangen. Stößt der Browser auf das Zertifikat eines anderen Herausgebers, so schlägt er Alarm. Insbesondere der neue Firefox 3 warnt den Benutzer eindringlich vor solch vermeintlich ungeprüften Seiten (Abbildung 3). Bei E-Mails tritt dieses Problem in verschärfter Form auf: Hier führt schon das Öffnen einer mit dem “falschen” Zertifikat versehenen Nachricht zu einer deutlichen Warnung, die die Identität des Absenders anzweifelt.
Abbildung 3: Die Warnungen des Browsers sind nicht immer gerechtfertigt.
Nicht immer handelt es sich dabei um berechtigte Warnungen, denn auch legitime Seiten, die ihre Zertifikate selbst ausstellen, lösen einen solchen Alarm aus, obwohl auch sie die Daten verschlüsselt übertragen. Die unvermeidliche Folge: Viele Betreiber von Webseiten und E-Mail-Nutzer installieren lieber gar kein Zertifikat und setzen so sich und ihre Kommunikationspartner einer großen Gefahr aus, sobald sensible Daten hin und her wandern. Jeder Foren-Login, jede Webmail, jeder Chat und jede vertrauliche Nachricht sollte besser verschlüsselt übertragen werden.
Kleiner SSL-Wortschatz
Zertifikat: Ein Zertifikat beurkundet die Identität seines Inhabers. Dieser signiert damit beispielsweise seine Webseite, eine E-Mail oder ein Programm.
Zertifizierungsstelle: Zertifizierungsstellen (auch CA, “Certificate Authority”) bieten die Zertifikate an und beglaubigen sie.
Stammzertifikat: Jede Zertifizierungsstelle verfügt über ein oder mehrere Stammzertifikate, die wie ein Siegel funktionieren.
Zertifikatsspeicher: Die Stammzertifikate aller vertrauenswürdigen Zertifizierungsstellen sind in den gängigen Browsern, E-Mail-Programmen und Betriebssystemen hinterlegt. Nur durch sie wissen die Programme, welche Anbieter glaubwürdig sind und welche nicht.
S/MIME: Die Nutzung von SSL-Zertifikaten in Mailprogrammen bezeichnet man auch als S/MIME.
Die Qual der Wahl
Falls Sie nun glauben, bei kommerziellen Anbietern bekämen Sie besonders sichere Zertifikate, dann täuschen Sie sich leider. Zertifizierung hat sich zum Massengeschäft entwickelt: Viele Anbieter überprüfen mittlerweile gar keine Identitäten mehr, sondern verlangen nur noch eine Verifikation per E-Mail, die im schlimmsten Fall auch unbefugte Dritte erlangen können. Gerade dann, wenn Sie die Zertifikate lediglich privat oder für eine kleine Firma einsetzen, macht es daher aus wirtschaftlicher Sicht oft Sinn, eine günstige oder gar kostenfreie Zertifizierungsstelle zu wählen.
Die Daten werden so oder so durch starke Kryptographie geschützt, und bei geschickter Wahl merken die Benutzer ihrer Website und die Empfänger Ihrer E-Mails gar nichts davon, dass Sie kein teures Zertifikat gekauft haben. Möchten Sie allerdings einen Onlineshop oder kritische Anwendungen durch SSL absichern, dann sollten Sie den Einsatz einer günstigen Zertifizierungsstelle gut überdenken: Teurere Angebote umfassen meist eine Versicherung gegen Datenmissbrauch, die sich im Unglücksfall oft als sinnvoll erweist. Zudem steht bei der Nutzung freier oder günstiger Anbieter immer die Haftungsfrage im Raum, falls es doch einmal zu Sicherheitsproblemen kommen sollte.
In diesem Artikel stellen wir Ihnen drei exemplarisch ausgesuchte Anbieter vorstellen: CACert [1] als kostenfreie Community-Zertifizierungsstelle, StartSSL [2] als preisgünstigen Allrounder und Thawte [3], bei dessen Betrachtung wir uns auf die kostenfreien E-Mail-Zertifikate beschränken.
Zertifizierungsstellen im Vergleich
| CACert | StartSSL | Thawte (nur E-Mail) | |
|---|---|---|---|
| Preis | grundsätzlich kostenfrei, aber Validierung einer Firma oder Organisation kostet eine geringe Gebühr | grundsätzlich kostenfrei, Validierungen kosten zwischen 29,95 und 59,90 US-Dollar pro Jahr | kostenfrei |
| Web of Trust | X | nur für E-Mail | X |
| Angebot | |||
| E-Mail-Zertifikate | X | X | X |
| Server-Zertifikate | X | X | – |
| Multi-Domain-Zertifikate | X | im kostenpflichtigen Angebot | – |
| Wildcard-Zertifikate | X | im kostenpflichtigen Angebot | – |
| Code Signing-Zertifikate | nach gesonderter, kostenfreier Freischaltung | im kostenpflichtigen Angebot | – |
| Erkannt von Browser | |||
| Internet Explorer 8 | – | – | – |
| Firefox 3.0 | – | X | – |
| Safari 3.2 | – | X | – |
| Opera 9.6 | – | – | – |
| Erkannt von E-Mail-Client | |||
| Thunderbird 2.0 | – | X | X |
| Outlook Express 6 / Windows Mail | – | – | X |
| Outlook 2007 | – | – | X |
Thawte – eine der ältesten Zertifizierungsstellen überhaupt – offeriert vielfältige Arten von Zertifikaten, meist gegen entsprechende Gebühr. Ein sehr interessantes Angebot stellen indes die so genannten “Personal Freemail Certificates” dar: Damit beantragen Sie binnen Minuten völlig kostenfrei Ihr eigenes Zertifikat zum Unterschreiben von E-Mails, das von den meisten Programmen akzeptiert wird. Dazu müssen Sie online lediglich ein paar persönliche Daten eingeben und Ihre E-Mail-Adresse verifizieren. Per Web of Trust (siehe unten) können Sie auch Ihren Namen in die Zertifikate eintragen lassen.
StartSSL, ein junges Unternehmen aus Israel, betreibt seit einiger Zeit eine eigene Zertifizierungsstelle. Das Basisangebot von StartSSL bleibt kostenfrei, dennoch akzeptieren viele Programme die Zertifikate. So integrieren Firefox und Safari bereits seit einiger Zeit das StartSSL-Stammzertifikat, das selbe gilt für Thunderbird. Die Windows-Programm Internet Explorer und Outlook hingegen quittieren StartSSL nur mit einer Warnung. Neben reinen E-Mail-Zertifikaten offeriert StartSSL auch Server-Zertifikate. Für einen geringen jährlichen Obulus erhalten Sie bei StartSSL sogar Code-Signing-Zertifikate, Zertifikate mit mehreren Domains oder Wildcard-Zertifikate (*.domain.tld) beantragen. Dabei fallen pro Jahr und Nutzer, unabhängig von der Zahl der Domains, maximal 29,95 bis 59,90 US-Dollar Gebühr an.
Bei CACert handelt es sich um ein rein Community-gestütztes Projekt ohne kommerzielle Interessen. Leider führt das dazu, dass bislang kein Browser und kein E-Mail-Programm CACert als gültige Zertifizierungsstelle akzeptieren, denn die dazu erforderlichen Audits kosten viel Geld. Nach eigenem Bekunden arbeitet CACert aber daran, dennoch als vertrauenswürdige CA anerkannt zu werden – dabei dürfte es sich nur noch um eine Frage der Zeit handeln. Für den Einsatz unter Kennern eignet sich CACert bereits jetzt sehr gut, da es über viele Funktionen verfügt und auch ohne offizielles Audit als sehr sicher und vertrauenswürdig gilt.
Das Web of Trust
Web of Trust bedeutet übersetzt Netz des Vertrauens – möglicherweise kennen Sie diesen Begriff schon aus dem Umfeld von PGP-Signaturen bekannt. Der Grundgedanke dahinter: Nicht eine zentrale Stelle bestätigt die Identität von Nutzern, sondern die Community selbst. Jeder, der am Web of Trust teilnimmt, bekommt eine gewisse Punktzahl – je höher diese ausfällt, desto öfter wurde seine Identität bestätigt und desto vertrauenswürdiger ist er. Ab einer gewissen Punktzahl kann man Zertifikate auf den eigenen Namen beantragen.
Seit längerem aktive Community-Mitglied können den Status eines “Notary” erhalten, also ihrerseits Dritte beglaubigen. Im Schnitt benötigt man die Bestätigung von 3 bis 5 Notaries, um selbst validiert zu werden. Dazu gibt es oftmals, beispielsweise auf Messen, so genannte Keysigning-Parties, auf denen möglichst viele Nutzer an einem Ort den Web-of-Trust-Prozess durchlaufen. Gerade CACert setzt stark auf dieses Prinzip, und auch bei Thawte stellt es für E-Mail-Zertifikate das Mittel der Wahl dar.
Das eigene E-Mail-Zertifikat
Exemplarisch am Beispiel Thawte wollen wir aufzeigen, wie Sie Ihr eigenes E-Mail-Zertifikat erhalten, mit dem Sie Nachrichten unterschreiben und verschlüsseln. Öffnen Sie zunächst im webbrowser http://www.Thawte.com und klicken Sie auf Products | Free Personal E-mail Certificate (Abbildung 4). Mit einem Klick auf Click here gelangen Sie zu den Vertragsbedingungen, die Sie über die Schaltfläche next bestätigen. Daraufhin müssen Sie einige persönliche Daten angeben (Abbildung 5), die der Erstellung des Zertifikats und der späteren Verifikation Ihrer Person dienen: Name, Geburtsdatum und Nationalität sowie Ihre E-Mail-Adresse und Spracheinstellungen.
Abbildung 4: Unscheinbar zwischen den kostenpflichtigen Produkten versteckt Thawte seine E-Mail-Zertifikate.
Abbildung 5: Einige private Daten werden verlangt, damit die Anmeldung erfolgen kann.
Zu guter Letzt sollten Sie ein besonders sicheres Passwort vergeben – die Erläuterungen dazu nehmen bei Thawte aus gutem Grund mehrere Seiten ein. Wählen Sie unbedingt ein möglichst sicheres Passwort, das Sie andernorts noch nicht benutzen und das sich nicht leicht erraten lässt. Sicherheitshalber dürfen Sie fünf Geheimfragen samt Antworten hinterlegen, mit denen Sie sich gegenüber Thawte für den Fall identifizieren, dass Sie das Passwort vergessen.
Nach kurzer Wartezeit erhalten Sie eine E-Mail von Thawte mit einem Link (Abbildung 6). Klicken Sie diesen an, wird Ihnen Ihr Benutzername mitgeteilt und die Anmeldung bestätigt. Damit haben Sie sich erfolgreich bei Thawte angemeldet. Nun müssen Sie über die Schaltfläche request in der Sektion X.509 Format Certificates ein Zertifikat erzeugen. Ein Assistent führt Sie durch die dazu notwendigen Schritte.
Abbildung 6: Mit dieser E-Mail wird Ihre Adresse überprüft und die Anmeldung vervollständigt.
Wählen Sie zunächst den eingesetzten Browser aus und überspringen Sie die Angabe der Employment-Information. Bei der Wahl der Extensions bestätigen Sie einfach mit accept und belassen die Verschlüsselungsstufe unbedingt auf Hochgradig – je stärker Ihr Schlüssel, desto sicherer ist auch Ihr Zertifikat. Nachdem Sie diesen Schritt erledigt haben, erzeugt Ihr Browser einen lokalen Schlüssel, was etwas Zeit in Anspruch nimmt. Schließlich erhalten Sie von Thawte zwei E-Mails: eine, die Sie über Ihren erfolgreichen Zertifikatsantrag informiert, gefolgt von einer weiteren, die die Fertigstellung des beantragten Zertifikats verkündet.
Diese letzte E-Mail enthält einen Link (Abbildung 7). Klicken Sie diesen an und geben Sie gegebenenfalls Ihre Thawte-Zugangsdaten ein. Kurze Zeit später informiert Sie der Browser über die erfolgreiche Installation. Wichtig dabei: Verwenden Sie den selben PC mit dem selben Benutzerprofil, mit dem Sie das Zertifikat auch beantragt haben – nur dort ist der geheime Schlüssel gespeichert, den Sie zur Installation brauchen.
Abbildung 7: Das lang ersehnte Zertifikat ist da.
Backups, Im- und Export
Im Browser nützt das Zertifikat zunächst einmal wenig. Immerhin wollen Sie damit E-Mails signieren, das Mailprogramm muss es also ebenfalls kennen. Doch nicht nur aus diesem Grund spielt die Exportfunktion eine wesentliche Rolle: Niemand kann Ihnen das Zertifikat bei Verlust ersetzen – ein sicheres Backup ist deshalb oberstes Gebot. Firefox speichert die eigenen Zertifikate unter Bearbeiten | Einstellungen | Erweitert | Verschlüsselung | Zertifikate anzeigen | Ihre Zertifikate im Zertifikat-Manager (Abbildung 8).
Abbildung 8: Der Zertifikat-Manager ist die zentrale Anlaufstelle für Ihre Zertifikate in Firefox.
Über die Funktion Sichern… exportieren Sie Ihr Zertifikat samt privatem Schlüssel in eine .p12-Datei und schützen es mit einem Passwort, um es so beispielsweise in Thunderbird zum Signieren von E-Mails einzubinden. Auch hier gilt wieder: Das Passwort sollte sicher und nicht einfach zu erraten sein. In Thunderbird öffnen Sie einfach den Zertifikat-Manager mittels Bearbeiten | Einstellungen … | Erweitert | Zertifikate | Zertifikate… | Ihre Zertifikate und laden die vorher exportierte Datei . Ab sofort können Sie nun E-Mails mit Ihrem neuen Zertifikat signieren.
S/MIME-Addons für Thunderbird
Thunderbird beherrscht von Haus aus den Umgang mit SSL-Zertifikaten [4]. Dank der praktischen Addon-Schnittstelle gibt es mittlerweile zahlreiche Erweiterungen, die die Nutzung von S/MIME noch angenehmer machen. Mit dem Card Viewer Extended[5] lassen Sie sich das zu einem Kontakt gehörende Zertifikat anzeigen . Der Cert Viewer Plus[6] und View Your Certificates Email Address[7] erweitern den Zertifikatmanager um praktische Funktionen, während S/MIME Security for Multiple Identities[8] eine separate Zertifikatskonfiguration für jede zusätzliche Konto-Identität erlaubt.
Fazit
Möchten Sie E-Mails so verschlüsseln, dass die gängigen Clients sie anerkennen, dann sollten Sie bedenkenlos zu Thawte greifen. Binnen weniger Minuten erhalten Sie dort ein eigenes, von allen gängigen Mailern akzeptiertes Zertifikat – und das ohne lästigen Papierkram. Soll es auf Ihren eigenen Namen ausgestellt werden, so müssen Sie zwar die Validierung per Web of Trust oder gegen Gebühr durch Thawte direkt vornehmen lassen; jedoch stören sich die wenigsten Programme daran, wenn das Zertifikat den Namen nicht enthält.
Für Webseiten empfiehlt sich StartSSL: Der noch recht junge Anbieter aus Israel bietet allerlei Raffinessen und stellt oft die kostengünstigste Möglichkeit dar, an ein eigenes Zertifikat für eine Webseite zu kommen. Allerdings sah sich StartSSL in der Vergangenheit bereits mit Vorwürfen konfrontiert, die Sicherheit des Systems sei nicht optimal.
Bei CACert handelt es sich um einen Anbieter, der den Open-Source-Gedanken voll und ganz lebt. Die Kommunikation verläuft sehr offen, jedermann kann sich am Projekt beteiligen. Für den professionellen Einsatz indes eignet sich CACert derzeit nur bedingt, da noch kaum ein Programm die Stammzertifikate als vertrauenswürdig erachtet.
[1] CACert: http://www.cacert.org
[2] StartSSL: http://www.startssl.com
[3] Thawte: http://www.thawte.com
[4] S/MIME mit Thunderbird: Caspar C. Mierau, “Vertrauensfragen”, LinuxUser 02/2009, S. 24, https://www.linux-community.de/artikel/17630/
[5] Card Viewer Extended: https://addons.mozilla.org/de/thunderbird/addon/5224
[6] Cert Viewer Plus: https://addons.mozilla.org/de/thunderbird/addon/1964
[7] View Your Certificates Email Address: https://addons.mozilla.org/de/thunderbird/addon/9064
[8] S/MIME Security for Multiple Identities: https://addons.mozilla.org/de/thunderbird/addon/8814
