Beim Zugriff über die gesicherte Verbindung (“https”) kann es sein, dass der Webbrowser eine Fehlermeldung anzeigt, dass die Seite nicht vertrauenswürdig sei. Dies liegt daran, dass die Organisation CAcert, welche die “Zertifikate” von www.drschroeder.info “unterschrieben” hat in den meisten Browsern nicht als vertrauenswürdig registriert ist.
Was tun?
Je nach Browser kann man
- bei jedem Aufruf von www.drschroeder.info über gesicherte Verbindungen einmalig das “Zertifikat” für die aktuelle Sitzung akzeptieren,
- das Zertifikat von www.drschroeder.info dauerhaft als sicher akzeptieren oder
- das Zertifikat von CAcert im Browser installieren. Diese finden sich unter http://www.cacert.org/index.php?id=3 mit den Fingerprints (Class 1 PKI Key: Fingerprint SHA1: 13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33; Fingerprint MD5: A6:1B:37:5E:39:0D:9C:36:54:EE:BD:20:31:46:1F:6B — Class 3 PKI Key Fingerprint SHA1: DB:4C:42:69:07:3F:E9:C2:A3:7D:89:0A:5C:1B:18:C4:18:4E:2A:2D; Fingerprint MD5: 73:3F:35:54:1D:44:C9:E9:5A:4A:EF:51:AD:03:06:B6); in den meisten Browser reicht es auf die beiden “PEM Format”-Dateien zu klicken und natürlich beim installieren den Fingerprint zu prüfen.
Und wie sicher ist das?
Das kommt drauf an, welche Variante man wählt. Grundsätzlich ist natürlich hier keine so hohe Sicherheitsstufe notwendig wie z. B. bei Online-Banking. Wie dem auch sei, hier findet Ihr ein paar Aspekte zur Sicherheit, die Euch hoffentlich bei der Entscheidung helfen…
Zertifikat für die aktuelle Sitzung akzeptieren
Hier ist die Verbindung zwar verschlüsselt, aber ein sog. Man-in-the-Middle-Angriff ist allerdings möglich, wenn das Zertifikat nicht von Hand überprüft wurde..
Zertifikat dauerhaft als sicher akzeptieren
Die Verbindung ist verschlüsselt und ein Man-in-the-Middle-Angriff ist grundsätzlich unwahrscheinlicher: Wenn bei der ersten Verbindung kein Angreifer da war, hat er keine Chance mehr. Wurde schon die erste Verbindung angegriffen, so fällt es spätestens dann auf, wenn bei einer späteren Verbindung der Angreifer nicht mehr dazwischen hängt.
Zertifikat von CAcert im Browser installieren
Hier sollte man als erstes bedenken, dass man damit nicht nur dem Zertifikat von CAcert für www.drschroeder.info traut, sondern allen Zertifikaten, die CAcert ausgestellt hat. Auch gibt es gute Gründe, warum man CAcert vielleicht nicht vertrauen möchte:
- CAcert setzt auf das “Web of Trust”, Nutzer werden also dadurch authentifiziert, dass (ausreichend viele) andere Nutzer die Identität überprüfen (also z. B. der Personalausweis prüfen) und dies online eintragen.
- Es gibt also keine Zentrale Instanz, die für Geld, aber dafür exakt und fehlerfrei die Identität von Nutzern prüft.
- Ob einem Nutzer eine Domain - hier also www.drschroeder.info - gehört, wird dadurch geprüft, ob er eine Mail an eine Adminstrator-Mailadresse der Domain empfangen kann. Hier könnte sich auch ein Angreifer reinhängen, indem er die Mail abfängt.
- Wenn man bei der Installation nicht richtig die “Fingerprints” überprüft, kann es im Prinzip passieren, dass man eine Fälschung statt der echten CAcert-Zertifikate installiert. Dies ist aber kein Problem, das CAcert-spezifisch wäre.
Allerdings sollte man dabei bedenken, dass die meisten unbesehen die Zertifikate verwenden, die von ihren Softwareherstellern vorinstalliert wurden. Und dort sieht es nicht viel anders aus:
- Selbst der Marktführer für kommerzielle Zertifikate hat schon falsche Zertifikate ausgestellt und zwar nicht für irgendwen, sondern (vermeintlich) für Microsoft, wo man doch gerade in diesem Fall erwarten sollte, dass sie es besonders genau nehmen.
- Der Test mit einer Mail an eine Admin-Adresse, um herauszufinden, ob der Antragsteller wirklich der Domain-Eigentümer ist, ist auch bei bestehenden Zertifikaten heute schon ausreichend — wenigstens in Firefox.
- Das Web of Trust wird von dem kommerziellen Zertifikat-Ersteller Thawte, einer Tochterfirma von VeriSign, dem oben zitierten Marktführer, mit den gleichen Eigenschaften verwendet wie CAcert, nur dass Thawte darüber keine Zertifikate für SSL bzw. https ausstellt, sondern “nur” Zertifikate für digital unterschiebene Mail. Diese werden aber z. B. in Microsoft-Produkten automatisch als vertrauenswürdig angesehen.
Insgesamt kann man es also so sehen, das Zertifikate von CAcert evtl. problematisch sind, aber nicht problematischer als das, was man sowieso bisher alltäglich akzeptiert, und dass man bei wirklich kritischen Anwendungen (Online Banking) sowieso noch einmal kritisch von Hand prüfen müsste. Ich (Jan Niklas) habe auf jeden Fall diesen Schluss gezogen und die Zertifikate von CAcert akzeptiert. Wenn Ihr das auch tun wollt, führt Euer Weg zu den Zertifikaten unter http://www.cacert.org/index.php?id=3 …
