Was ist ein CA-Zertifikat und wie funktioniert es?

[ware_item id=33][/ware_item]

Ein Beispiel für ein CA-Zertifikat.


Kürzlich zwang die kasachische Regierung die Bürger vorübergehend, eine Zertifizierungsstelle (Certificate Authority, CA) einzurichten, die es dem Staat ermöglichte, alle Inhalte und Kommunikationen in einem Man-in-the-Middle-Angriff zu entschlüsseln.

Mit dem Zertifikat konnte die Regierung sogar Daten ändern und Benutzer dazu verleiten, Viren und Spyware auszuführen und herunterzuladen. Die Initiative der kasachischen Regierung ist vielleicht vorerst gescheitert, aber die Bedrohung ist real.

Zertifizierungsstellen erklärt

Eine Zertifizierungsstelle überprüft beim Verschlüsseln von Daten zwischen ihren Servern und Ihnen, ob eine Website dem entspricht, was sie angibt. Die Zertifizierungsstelle signiert das Verschlüsselungszertifikat der Website, das dem Benutzer bei jedem Öffnen einer Website vorgelegt wird.

Das ExpressVPN-Zertifikat, das von einer Zertifizierungsstelle (Amazon) signiert wurde.

Anbieter von Browsern und Betriebssystemen können möglicherweise nicht alle Websites einzeln als Eigentümer validieren. Daher delegieren sie dies an eine Reihe von vertrauenswürdigen Zertifizierungsstellen. Alle Zertifizierungsstellen müssen über Prozesse und Überprüfungen verfügen, um sicherzustellen, dass Zertifikate nur an den rechtmäßigen Eigentümer einer Domain ausgestellt werden.

Wenn Sie beispielsweise die Website Ihrer Bank besuchen, möchten Sie sicher sein, dass Sie die Website Ihrer Bank wirklich nutzen und kein Betrüger sind. Ihr Browser überprüft daher, ob das auf der Website vorgelegte Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Auf diese Weise wird eine "Vertrauenskette" gebildet, die den Nachweis erbringt, dass Sie wirklich die richtige Website verwenden.

In der Vergangenheit gab es mehrere Fälle, in denen Browser- und Betriebssystemanbieter den Zertifizierungsstellen die Rechte entzogen haben, weil sie sich bei der Ausstellung von Zertifikaten als inkompetent oder böswillig erwiesen haben. Wenn die Zertifizierungsstelle Anforderungen für andere signiert, z. B. für Nationalstaaten oder Hacker, funktioniert das System nicht.

Auf Ihrem Computer ist eine Reihe von Zertifizierungsstellen vorinstalliert, während Firefox eine eigene Liste verwendet, die von eigenen Experten überprüft wird. Kasachstan hat versucht, seine böswillige Zertifizierungsstelle in Firefox aufzunehmen, Mozilla lehnte dies jedoch höflich ab. Die Zertifizierungsstelle ist in keinem anderen wichtigen Browser enthalten, es ist jedoch möglich, eine Zertifizierungsstelle manuell hinzuzufügen. Browser-Entwickler sind sich dieser Lücke bewusst, und einige schlagen vor, böswillige Zertifizierungsstellen dauerhaft zu blockieren und Benutzern die Installation oder Umgehung von Einschränkungen zu verweigern.

Eine gefälschte Zertifizierungsstelle

Die kasachische Regierung versucht, diese wichtige Vertrauenskette zu umgehen, indem sie eine eigene Zertifizierungsstelle erstellt und sich die Möglichkeit gibt, sich als eine beliebige Site auszugeben.

Solange es den Datenstrom kontrolliert, kann es jeden Server als "legitim" darstellen und zum Phishing Ihrer Anmeldeinformationen verwenden. Das gültige Zertifikat von twitter.com belegt beispielsweise, dass Sie wirklich mit Twitter verbunden sind und dass die Eingabe Ihres Benutzernamens und Kennworts sicher ist. Wenn Ihr Computer jedoch einer gefälschten Zertifizierungsstelle vertraut, wird Ihre Verbindung möglicherweise von einer anderen Person an ihren eigenen Server weitergeleitet, während Sie sich als Twitter ausgeben.

Was ist ein HTTPS-Zertifikat??

Hypertext Transfer Protocol Secure (HTTPS) ist ein Protokoll zur Verschlüsselung von Websites. Wenn Sie zu einer Website navigieren, die HTTPS unterstützt (mittlerweile die meisten Websites), wird ein verschlüsselter Kanal zwischen Ihrem Gerät und dem Server der Website eingerichtet, um sicherzustellen, dass niemand dazwischen Ihre Passwörter oder vertraulichen Informationen lesen kann. Diese Sicherheitsmaßnahme wird häufig durch ein Schloss in der Adressleiste des Browsers angezeigt.

Um zu überprüfen, ob Ihr Computer mit einer echten Bank-Website und nicht mit einem Klon verbunden ist, wird das HTTPS-Zertifikat von einer Zertifizierungsstelle signiert. Wenn Sie zur Website navigieren, zeigt der Server eine elektronische Signatur an, aus der hervorgeht, dass die Behörde überprüft hat, dass sie zu der Website gehört, die Sie besuchen möchten.

Da HTTPS sehr zuverlässig ist, wenn es nicht untergraben wird, verlassen sich die meisten Websites und Anwendungen ausschließlich auf die von HTTPS bereitgestellte Sicherheit, um die Sicherheit der Daten während der Übertragung zu gewährleisten.

Verschlüsselung funktioniert

Verschlüsselung so einfach wie HTTPS kann tiefgreifende Auswirkungen auf die Online-Sicherheit und den Datenschutz haben, weshalb autoritäre Regime anfällig für Angriffe sind.

Insbesondere in Staaten mit unzuverlässigen Rechtssystemen und mangelnder Rechenschaftspflicht können wir den Regierungen keinen Zugang zu unseren privaten Daten anvertrauen. Wie unzählige Beispiele gezeigt haben, werden private Informationen (wie Kreditkarteninformationen und private Nachrichten) in die Hände regionaler Abteilungen, dann einzelner Beamter und schließlich in die organisierte Kriminalität gelangen, wo sie die Stabilität der Gesellschaft gefährden.

Was ist ein CA-Zertifikat und wie funktioniert es?
admin Author
Sorry! The Author has not filled his profile.