Video Screencast Help

Abgelaufene Zertifikate, Warnmeldungen im Browser und OCSP

Created: 16 Jul 2013 • Updated: 18 Jul 2013 • Translations available: English, Français
Andrew Horbury's picture
0 0 Votes
Login to vote

Ich hoffe, dass Sie meinen vorigen Beitrag über die fragwürdigen Empfehlungen gelesen haben, die manche Websitebetreiber ihren Benutzern geben. Heute möchte ich etwas tiefer gehen und einige Fehlermeldungen, die Ihr Browser eventuell anzeigt, genauer betrachten. Was bedeuten sie und was geschieht hinter den Kulissen zu Ihrem Schutz?

Aus gegebenem Anlass beginne ich mit den Warnmeldungen über ein abgelaufenes SSL-Zertifikat. Wenn Sie eine Website aufrufen und eine sichere Sitzung initiieren, indem Sie sich beispielsweise zum Lesen Ihrer Webmail anmelden, schickt der Server, der die entsprechende Website hostet, Ihrem Browser ein SSL-Zertifikat, um seine Identität zu belegen. Dieses Zertifikat enthält die URL der Website und andere Identitätsangaben. Alle diese Angaben wurden von einer unabhängigen Zertifizierungsstelle überprüft, der Ihr Browser vertraut, z. B. von Symantec. Ihr Browser vergleicht nun die im Zertifikat angegebene URL mit der von Ihnen aufgerufenen und überprüft, ob das Zertifikat noch gültig ist. Dadurch wird gewährleistet, dass Sie eine sichere Sitzung mit der Website aufbauen, die Sie tatsächlich aufrufen wollen, und nicht mit der gefälschten Website eines Internetkriminellen, der es auf Ihren Benutzernamen und Ihr Kennwort abgesehen hat. Deshalb sollten Sie auf keinen Fall fortfahren, wenn Sie beim Aufruf einer Website die in meinem letzten Beitrag abgebildete Warnmeldung erhalten.

Und wenn Ihr Browser eine Warnmeldung für ein gültiges, nicht abgelaufenes SSL-Zertifikat anzeigt? Alle Zertifizierungsstellen sind verpflichtet, eine Liste widerrufener Zertifikate zu führen und stets auf dem neuesten Stand zu halten. Diese muss dem Online Certificate Status Protocol (OCSP) oder seinem Vorgänger, der Certificate Revocation List (CRL), entsprechen. (Mehr darüber erfahren Sie in diesem englischsprachigen Blogbeitrag über OCSP und den Widerruf von SSL-Zertifikaten.) Warum ist das so wichtig? Vor einigen Jahren gelangten iranische Internetkriminelle in den Besitz gefälschter Zertifikate einer Zertifizierungsstelle namens DigiNotar für mehrere Dutzend Internetdomänen, darunter mehrere bekannte Services für Webmail, Instant Messaging und IP-Telefonie. Alle namhaften Anbieter von Webbrowsern entfernten DigiNotar daraufhin aus ihren Listen vertrauenswürdiger Zertifizierungsstellen. Wenn Benutzer die entsprechenden Warnmeldungen ihrer Browser missachtet hätten, wären ihre Kontaktdaten und damit alle in ihren Konten gespeicherten persönlichen Daten in die Hände der Internetkriminellen gefallen. DigiNotar musste Konkurs anmelden, weil dieser Vorfall jegliches Vertrauen in die Zertifikate der Zertifizierungsstelle zerstörte. Wenn die Vertrauenswürdigkeit einer durch ein SSL-Zertifikat geschützten Domäne nicht mehr gewährleistet ist, kann die ausstellende Zertifizierungsstelle das Zertifikat widerrufen und den Domänennamen auf die Widerrufsliste setzen. Daraufhin vertrauen Browser diesem Zertifikat für diese Website nicht mehr.

Zertifizierungsstellen sind nicht verpflichtet, den Widerrufstatus abgelaufener Zertifikate zu speichern. Ihr Browser kann also nicht feststellen, ob ein abgelaufenes Zertifikat unmittelbar vor seinem Ablauf gültig war oder nicht. Deshalb sollten Sie als Verbraucher auf keinen Fall eine Warnung über ein abgelaufenes Zertifikat ignorieren. Ich persönlich würde Ihnen empfehlen, dem Betreiber der Website telefonisch oder per E-Mail mitzuteilen, warum Sie seine Website nicht benutzen. Damit leisten Sie Ihren Beitrag zur Online-Sicherheit.

Es gibt natürlich noch weitere Gründe, warum Browser beim Aufrufen einer Website Warnmeldungen anzeigen, z. B.:

  • Das SSL-Zertifikat wurde nicht korrekt installiert.
  • Der Webbrowser vertraut der ausstellenden Zertifizierungsstelle nicht (Blogbeitrag in englischer Sprache).
  • Die Website nutzt selbstsignierte Zertifikate, weshalb der Browser dem entsprechenden Root-Zertifikat nicht vertraut.
  • Die Website ist möglicherweise mit Malware infiziert und wurde von mindestens einer Suchmaschine auf die schwarze Liste gesetzt.

Was können Unternehmen tun, um solche Warnmeldungen zu vermeiden?

  • Erwägen Sie die Nutzung des Tools „Qualys Server Checker“ (nur in englischer Sprache verfügbar), um die SSL-Installation Ihrer Website umfassend zu prüfen. Dieses Tool prüft beispielsweise, ob die vollständige Zertifikatskette korrekt installiert ist und ob veraltete, unsichere Protokolle und Chiffren deaktiviert wurden.
  •  Richten Sie in Ihrem Kalenderprogramm Erinnerungen an ablaufende Zertifikate ein. Denken Sie daran, dass viele Zertifikate bis zu 90 Tage vor ihrem Ablaufdatum erneuert werden können. Durch die frühzeitige Erneuerung geht Ihnen nichts verloren. Im Gegenteil: Sie befolgen damit Best Practices.
  • Wenn Sie für ein größeres Unternehmen arbeiten, in dem zahlreiche Zertifikate im Einsatz sind, sollten Sie eine Lösung wie das Certificate Intelligence Center von Symantec in Erwägung ziehen. Damit können Sie Ihre Zertifikate zentral überwachen und SSL-Zertifikate von Symantec bei Bedarf automatisch verwalten und erneuern.
  • Durchsuchen Sie Ihre Website regelmäßig nach Malware und Schwachstellen.
  • Denken Sie daran, dass unser Support-Team Ihnen als Kunde von Symantec rund um die Uhr zur Verfügung steht, falls Sie Hilfe benötigen.

Ohne Vertrauen kämen E-Commerce und der Informationsaustausch im Internet zum Erliegen. Deshalb dürfen wir es nicht aufs Spiel setzen. Das sind wir uns und unseren Kunden schuldig.