TLS/SSL - Fragen und Antworten

Schützen Zertifikate vor Datendiebstahl?

Durch den Authentifizierungsvorgang bei der Datenübertragung bieten Zertifikate bereits ein gewisses Maß an Sicherheit vor Phishing- und Pharming-Attacken. Beide Angriffstypen haben zum Ziel, illegal Benutzerdaten zu sammeln. Beim Phishing werden Anwender durch harmlos oder vertraut wirkende Links auf Webseiten gelockt, die Informationen über den nichtsahnenden Besucher ausspähen. Beim Pharming wird der User durch vorsätzlich veränderte Host-Namen ebenfalls auf betrügerische Webinhalte geleitet. Der Einsatz von Zertifikaten schützt den Anwender allerdings nur davor, unabsichtlich auf gefährliche Seiten zu gelangen.

Welche digitalen Zertifikate gibt es?

In den vergangenen Jahren sind eine ganze Reihe unterschiedlicher Zertifikatstypen in Umlauf gekommen. Dies sind vor allem Domain-validierte SSL-Zertifikate (DV), Organisationsvalidierte SSL-Zertifikate (OV) sowie Extended-Validation-Zertifikate (EV). Darüber hinaus gibt es Wildcard-Zertifikate, Multi-Domain-Zertifikate (MDC) und Unified-Communications-Zertifikate (UCC). Zunehmender Beliebtheit erfreuen sich in letzter Zeit die sogenannten Extended-Validation-Zertifikate. Dabei zeigt eine im Browser gut sichtbare Markierung an, dass die Website durch ein zuverlässiges Zertifikat abgesichert ist.

Sind alle Zertifikate gleich sicher?

Nein! In Sachen Sicherheit unterscheiden sich die aktuell verbreiteten Zertifikate stark. Generell muss man davon ausgehen, dass jedes Verschlüsselungssystem theoretisch überlistet werden kann. Dabei hängt die Sicherheit des Zertifikates von zwei Faktoren ab: der Anzahl der in einem Schlüssel verwendeten Zahlen sowie dem Algorithmus des gewählten Verschlüsselungsverfahrens. Weist dieser Schwächen auf, lässt er sich schnell überlisten. Als unsicher aufgrund einer zu kurzen Schlüssellänge gelten nach Aussagen der Bundesnetzagentur die Verschlüsselungsverfahren RC4 (56 Bits), DES und die Prüfsumme MD5 (je 128 Bits). Sicher sind hingegen die Methoden Triple-DES (168 Bits), AES (128 / 256 Bits) und die Prüfsumme SHA (160 bis 512 Bits).

Wer garantiert die Vertrauenswürdigkeit von Zertifikaten?

Die Comodo-Zertifikate beispielsweise werden von Web Trust, einer unabhängigen Auditierungsorganisation, entsprechend geltender Sicherheitsstandards als vertrauenswürdig bewertet. Darüber hinaus werden alle Zertifikateanbieter durch das CA Browser Forum kontrolliert. Die Zertifikate enthalten neben dem eigentlichen Schlüssel auch Zusatzinformationen, die zur Authentifizierung sowie zur Verschlüsselung und Entschlüsselung vertraulicher Daten dienen. Dazu gehören zum Beispiel die Gültigkeitsdauer sowie die Zertifikatssperrliste. Diese wird durch die CA mit in das Zertifikat eingebracht.

Die Zertifizierungsstelle (CA) ist für die Erzeugung und Überprüfung der digitalen Zertifikate zuständig. Zudem verantwortet sie die Bereitstellung, Zuweisung und Integritätssicherung der ausgegebenen Zertifikate. In dieser Funktion ist sie das zentrale Element der Public-Key-Infrastruktur. Zertifizierungsstellen können Unternehmen und interne Institutionen, aber auch öffentliche Organisationen oder Regierungsstellen sein. In Deutschland wäre dies beispielsweise die Bundesnetzagentur. (sh)