smekal.at :: IT Consulting

News
IPv6: dynamisches Routing mit RIPng >
< CAcert erneuert Zertifikat
24.11.2011 14:11 Alter: 6 yrs
Kategorie: IT-Security, Vortrag
Von: Goesta Smekal

HTTPS Zertifikate prüfen - aber wie?

Das Vertrauen in die Chain of Trust ist schwer beschädigt - wie stellt man dennoch die Identität eines Servers sicher?


Anlässlich eines Vortrags zum Thema Vertrauen im World Wide Web konnte ich interessante Einblicke gewinnen, wie man Serverzertifikate überprüfen kann, oder auch nicht.

In letzter Zeit wurden immer wieder Vorfälle bekannt, bei denen die Vertrauenswürdigkeit der Aussteller digitaler Zertifikate infrage gestellt wurde. Die bekanntesten Fälle sind bestimmt der Einbruch in Systeme von Diginotar und die Unregelmäßigkeiten um Comodo.

Wenn nun aber den Zertifizierern (kurz CA) nicht mehr zu trauen ist, gerät das gesamte System ins Wanken. Und bei der Unzahl von CAs, denen unsere Browser von Haus aus vertrauen, ist es kaum möglich den Überblick zu behalten.

Es muss also einen anderen Weg geben, um sicherzustellen, dass man bei einer HTTPS Verbindung auch wirklich mit dem gewünschten System Daten austauscht. Dazu gibt es die digitalen Fingerabdrücke der Serverzertifikate. Diese kann man auf einem getrennten Weg vergleichen und das Vertrauen wieder herstellen. Somit sollte ein Anruf beim Betreiber einer SSL gesicherten Website genügen um sich Gewissheit über die Identität des Servers zu verschaffen.

Wer etwas Zeit erübrigen kann, sollte umgehend die Hausbank, oder eine beliebige Behörde (Wohnsitzfinanzamt, Sozialversicherung, ...) anrufen und nach dem Fingerabdruck des Serverzertifikats fragen. Für vergnügliche Stunden ist gesorgt.