Der Sinn und Unsinn von SSL-Zertifikaten

Insbesondere in der heutigen Zeit, in der IT-Sicherheit und Verschlüsselung eine zunehmend größere Rolle spielt, stellt sich für viele Webseiten-Betreiber die Frage, ob sich die Anschaffung eines SSL-Zertifikates, die administrativen Arbeiten und auch die damit verbundenen Kosten lohnen.

Was macht ein SSL-Zertifikat genau?

Ein SSL-Zertifikat ist im Prinzip eine Art digitaler Datensatz, welcher die Authentizität und Integrität einer verschlüsselten Kommunikation durch entsprechende kryptographische Verfahren sicherstellen soll. Wenn Sie beispielsweise Ihre Webserverkommunikation verschlüsseln möchten, so benötigt Ihr Server ein entsprechendes SSL-Zertifikat. SSL-Zertifikate sind immer explizit auf eine oder mehrere Domains ausgestellt und besitzen daher nur für deren Kommunikation eine entsprechende (zeitlich begrenzte) Gültigkeit.

Kommt eine SSL-Verschlüsselung zum Einsatz, so erkennen Sie dies in der Adresszeile Ihres Browsers am Kürzel „https“ statt „http“. Wird das genutzte Zertifikat zudem als gültig erachtet sehen Sie dort in der Regel auch ein kleines grünes Schloss, oder aber – bei einem erweiterten Typ des SSL-Zertifikates – zusätzlich eine grüne Adressleiste.

Das „grüne Schloss“

Wenn Sie ein solches Zertifikat bei einem Hostinganbieter erwerben, so besteht dieses in der Regel aus drei wichtigen Komponenten:

A) Der Private Key:

Der private Schlüssel bildet den Kern der Verschlüsselung. Dieser verbleibt einzig und allein in Ihrem Besitz (und natürlich auch auf Ihrem Webserver) und darf nicht in die Hände Dritter gelangen. Verlieren Sie diesen oder wird dieser Dritten bekannt, so ist Ihr Zertifikat im Prinzip wertlos.

B) Das Zertifikat mit dem Public Key:

Dies ist der öffentliche Teil eines SSL-Zertifikates, welchen Ihr Webbrowser dem Besucher mitteilt. Ohne die kryptographischen Hintergründe im Detail zu erklären kann man es sich ungefähr so vorstellen, dass der Besucher beim Aufruf Ihrer Website per https diesen öffentlichen Schlüssel von Ihrem Webserver ausgehändigt bekommt und seine eigenen Daten damit verschlüsselt. Diese Daten sind dann wiederum ausschließlich mit dem zugehörigen privaten Schlüssel – welcher nur Ihnen (bzw. Ihrem Server) zur Verfügung steht – entschlüsselbar. Man spricht dabei auch von einer asymmetrischen Verschlüsselung.

C) Das CA-Zertifikat:

Diese Komponente enthält entsprechende Informationen über die Zertifizierungsstelle Ihres Zertifikates.

Wer stellt solche Zertifikate aus?

Der wichtigste und zugleich auch umstrittenste Aspekt dieses gesamten Konzeptes ist jener, dass das ganze Zertifikatssystem im Prinzip auf Vertrauen basiert. Es haben sich im Laufe der Zeit zahlreiche Zertifizierungsstellen (sog. certification authorities, kurz „CA“) etabliert, welche entsprechende Zertifikate nach einer Prüfung des Antragstellers entsprechend herausgeben und ihrerseits nochmals mit ihrem Schlüssel digital signieren (also quasi „unterschreiben“). Das Zertifikatssystem geht davon aus, dass diese Zertifizierungsstellen grundsätzlich als vertrauenswürdig zu betrachten sind.

Die Hersteller gängiger Webbrowser haben im Gegenzug wiederum entsprechende Listen „vertrauenswürdiger“ Zertifizierungsstellen in den Webbrowsern hinterlegt, über die eine entsprechende Gegenprüfung beim Aufruf einer SSL-verschlüsselten Webseite erfolgt. Erkennt der Browser beim Aufrufen einer verschlüsselten Webseite ein gültiges Zertifikat, welches zudem von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde, gibt er „grünes Licht“.

Aus rein technischer Sicht könnte jeder Serverbetreiber seine Zertifikate auch selbst erstellen und signieren. Technisch ist dies mit wenigen Handgriffen erledigt und die kryptographische Sicherheit würde sich hier auch nicht von einem „offiziellen“ Zertifikat unterscheiden. In der Praxis wäre ein solches Zertifikat jedoch schlichtweg nicht nutzbar, denn jeder gängige Webbrowser würde hier sofort Alarm schlagen, da der Aussteller des Zertifikat eben nicht auf der oben genannte Liste vertreten wäre und somit als „unsicher“ gelten würde:

Eine nicht vertrauenswürdige Verbindung

In entsprechenden Fachkreisen ist dieses Konzept mittlerweile sehr umstritten. So gibt es durchaus einige als „vertrauenswürdig“ eingestufte Zertifizierungsstellen, die bei näherer Betrachtung ein wenig Stirnrunzeln bereiten können. Gerade im Hinblick auf jene Zertifizierungstellen, die sich in fester staatlicher Hand von Ländern befinden, welche es mit der IT-Sicherheit und der freien Kommunikation nicht immer ganz so genau nehmen, kann man doch etwas ins Grübeln geraten.

Ein weiterer Aspekt ist jener, dass es mittlerweile auch schon mehrfach passiert ist, dass Zertifizierungsstellen der eigene private Schlüssel durch eine mangelhafte Absicherung der eigenen IT-Infrastruktur abhanden gekommen ist und somit von Kriminellen missbraucht werden konnte. Sicherheitstechnisch stellt dies natürlich eine mittlere Katastrophe dar, da es auf einen Schlag die Sicherheit aller Zertifikate dieser Zertifizierungstelle nichtig macht.

Ist es also Unsinn ein SSL-Zertifikat einzusetzen?

Nein, keinesfalls. Auch wenn es deutliche Bedenken hinsichtlich der aktuellen Zertifizierungsverfahren gibt, so kann man dennoch festhalten, dass selbst eine nicht 100% perfekte Verschlüsselung immer noch weitaus besser ist als gänzlich auf diese zu verzichten. Man kann es auch schlichtweg unterbrechen auf „Es ist zwar nicht perfekt, aber immer noch das beste, was wir aktuell haben“.

Gerade, wenn Ihre Webseite mit sensiblen Daten umgeht (beispielsweise als Betreiber eines Online-Shops) ist eine entsprechende Absicherung eigentlich unumgänglich. Ob es dabei nun unbedingt die grüne Adressleiste sein muss oder ein einfaches domaingeprüftes Zertifikat reicht ist aber letztlich jedem selbst überlassen.

Gibt es Alternativen?

Leider lassen sich viele Zertifizierungsstellen die Prüfung durchaus einiges kosten, so dass dies vor allem kleinere Webseitenbetreiber vor Probleme stellt. Insbesondere dann, wenn das Zertifikat auch noch mehrere Domains abdecken soll, schnellen die damit verbundenen Kosten sehr schnell in die Höhe und übersteigen oftmals selbst die Kosten für das eigentliche Serversystem.
Dies hatte natürlich oftmals zur Folge, dass viele Seitenbetreiber daher gänzlich darauf verzichteten eine verschlüsselte Kommunikation anzubieten. Um dieser Problematik etwas entgegenzuwirken hat sich die Let’s Encrypt Initiative gegründet, welche Ende 2015 offiziell an den Start gegangen ist;

Let’s Encrypt hat sich zum Ziel gesetzt für Jedermann möglichst unkompliziert kostenfreie domaingeprüfte SSL-Zertifikate bereitzustellen. Inzwischen funktioniert dies auch recht reibungslos, auch wenn stellenweise die technischen Hürden für Laien noch etwas hoch liegen. Mittlerweile bieten aber auch bereits einige Hostinganbieter eine offizielle Unterstützung von Let’s Encrypt Zertifikaten an. Auch der Hersteller der Administrationssoftware Plesk hat mit dem letzten Major Release (Plesk Onyx) ein offizielles Let’s Encrypt Modul als Standardkomponente direkt in die Software integriert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert