Die Geschichte von SSL/TLS: Teil 2 – TLS Zertifikate

SSL und TLS Protokolle werden im Internet an häufigsten genutzt – und ihnen verdanken wir auch die Tatsache, dass wir im Internet sicher surfen können. Diese sind es auch, welche aus dem „http“ in unserer Adresszeile ein „https“ machen. Nachdem wir uns im ersten Teil dieser Serie mit den Grundlagen von TLS und SSL beschäftigt haben, wollen wir in diesem Teil den Fokus auf TLS Zertifikate legen.

TLS Zertifikate – die Grundlagen

Wie bereits besprochen dient das TLS/SSL Protokoll unter anderem dazu die Authentizität der Verbindung sicherzustellen. Dies bedeutet, dass der Webbrowser eines Benutzer sichergehen kann das er beim Aufruf einer Webseite wirklich mit dieser redet. Genau für diese Verifikation werden beim Verbindungsaufbau Zertifikate verwendet. Dies kann man sich vorstellen wie einen Personalausweis welchen die Webseite vor deren Besuch vorzeigt um sich als gegenüber dem Browser ausweisen.

Dies dient dazu sicherzustellen, dass kein Angreifer sich als Sparkasse-gelsenkirchen.de ausgeben kann, da für niemanden außer der www.sparkasse-gelsenkirchen.de ein gültiges Zertifikat ausgestellt wird. Wie jeder Personalausweis wird auch jedes TLS Zertifikat von einer übergeordneten Stelle oder Behörde ausgestellt. Das bedeutet das wir der ausstellenden „Behörde“ vertrauen müssen kein zweites Mal ein Zertifikat für www.sparkasse-gelsenkirchen.de auszustellen.

TLS Zertifikate – Vertrauen ist der Grundstein

Ein Zertifikat besteht nun also nicht nur aus einem einzelnen Zertifikat sondern aus einer Kette. Diese nennt sich Certificate Chain.

TLS Zertifikate der Webseite www.sparkasse-gelsenkirchen.de
TLS Zertifikate der Webseite www.sparkasse-gelsenkirchen.de

In der hier abgebildeten Grafik sieht man die Zertifikatskette des Zertifikats für www.sparkasse-gelsenkirchen.de. Dieses TLS Zertifikat wurde von der Zertifizierungsstelle DigiCert mit deren „DigiCert SHA2 Extended Validation Server CA“ Zertifikat signiert. Dieses nennt man ein Intermediate- oder Zwischen-Zertifikat. Da zwei Elemente noch keine Kette ausmachen, kann auch dieses Intermediate-Zertifikat noch von weiteren Intermediate-Zertifikaten ausgestellt sein, auch wenn dieses selten der Fall ist. Das Ende der Kette stellt aber immer ein Root- oder Wurzel-Zertifikat dar. Diese sind die Grundlage des Vertrauens im Web, da diese in allen unseren Webbrowsern hinterlegt sind.

Unsere Webbrowser vertrauen, wenn wir sie neu installieren, einer ganzen Menge an unterschiedlichen Ausstellern an Zertifikaten – so auch der eben erwähnten DigiCert. Nur ein kleiner Teil dieser Aussteller sind staatliche Organisationen, der größte Teil davon sind Unternehmen. In der unten abgebildeten Grafik sehen wir ein kurzen Ausschnitt der Aussteller welche der Firefox Webbrowser vertraut.

Root TLS Zertifikate in Firefox
Root TLS Zertifikate in Firefox

 

TLS Zertifikate – Vertrauen ist Gut, Kontrolle ist Besser

Es muss ganz klar gesagt werden, die Sicherheit der TLS und SSL Protokolle basiert grundlegend auf den im Webbrowser hinterlegten Root-Zertifikaten und Ausstellern. Sollten diese gehackt werden oder sich dazu entscheiden ihre Macht zu Missbrauchen, und sich selber als Google oder Sparkasse Gelsenkirchen auszugeben, wären sie dazu in der Lage.

Dieses Problem ist schon seit längerem bekannt. Gegen dieses Missbrauchspotenzial wird auch einiges getan. So kann ein Benutzer selber händisch Aussteller, denen er nicht vertraut, aus der oben abgebildeten Liste löschen – auch wenn wir dies nur sehr technisch versierten Lesern empfehlen würden. Eine weiteres Projekt welches den Missbrauch von Zertifikaten aufdecken soll, sind die Certificate Transparency Logs. Diese wurden maßgeblich von Google entwickelt und vorangetrieben. Diese protokollieren alle ausgestellten Zertifikate und melden somit missbräuchlich erstellte.




Die Geschichte von TLS und SSL

Im nächsten Teil dieser Serie wollen wir uns den Ursprung der ersten Webverschlüsselung im NetScape Browser ansehen – SSL in der Version 1. Gerade zu diesen nie erschienenen Protokoll gibt es ein paar interessante Geschichten zu erzählen. Um also immer auf dem neusten Stand zu bleiben folgt uns am besten auf Twitter, Instagram und Facebook.


Sevencast – der IT-Security Podcast

Von unterwegs, im Büro oder zu Hause hören und auf dem aktuellen Stand bleiben!

Sevencast bei Spotify
Sevencast bei Apple Podcast
Sevencast bei Overcast


Schreibe einen Kommentar