Zertifikate

Wozu benötigt man Zertifikate?

Wenn Sie vertrauliche Informationen wie z.B. Kontodaten, Transaktionsnummern oder Passworte an einen Webserver oder Mailserver übermitteln, muss die Verbindung zum Server verschlüsselt werden, damit nicht böswillige Dritte die Informationen abhören können. Allerdings reicht die Verschlüsselung noch nicht aus, um die Daten zu schützen. Böswillige Angreifer könnten versuchen einen falschen Computer als den gewünschten Server auszugeben. Wenn Sie dann ihre geheimen Daten eingeben, werden diese verschlüsselt — zum Computer des böswilligen Angreifers übermittelt.

Manipulationen dieser Art werden z.B. bei den unter dem Schlagwort Phishing bekannt geworden Angriffen auf Homebanking verwendet. Aber das Vortäuschen von fremden Servern ist ein alter bekannter Angriff auf verschlüsselte Verbindungen (so genannte Man-In-The-Middle-Angriffe).

Es genügt also nicht, die Kommunikation mit dem Server zu verschlüsseln. Der Server muss sich auch "ausweisen" und beweisen, dass er wirklich derjenige Server ist, der er zu sein vorgibt. Man sagt, der Server muss sich authentifizieren, so wie Sie sich mit Personalausweis, Passworten, PINs und TANs authentifizieren müssen.

Zertifikate sind in diesem Sinne digitale Ausweise und erfüllen diesen gewünschten Zweck.

Wer stellt Zertifikate aus?

Wie bei einem realen Ausweisdokument, sollte dieses nur ausgestellt werden, wenn der Inhalt des Papiers wirklich zu der Person gehört, der dieses Ausweisdokument beantragt. Dazu überprüft eine vertrauenswürdige Einrichtung (z.B. die Meldebehörde) die Identität des Antragstellers und erst dann wird das Ausweisdokument ausgestellt.

Bei elektronischen Ausweisen (Zertifikaten) werden diese von einer Zertifizierungsinstanz (engl. certification authority, kurz CA) ausgestellt. Die Identifikation erfolgt durch eine Registrierungsstelle (engl. registration authority, kurz RA).

Für die TUHH betreibt die DFN-Verein die Zertifizierungsinstanz TUHH CA. Diese kann für die TU Hamburg-Harburg Zertifikate nach den Regel in ihrer Policy ausstellen.

Warum wird bei Zertifikaten von einer Hierarchie/Kette gesprochen?

Damit ein Zertifikat überprüft werden kann, enthält dieses eine Verweis auf das Zertifikat der Zertifizierungsstelle, die das Zertifikat ausgestellt hat. Technisch gesprochen handelt es sich bei diesen Verweisen um eine digitale Signatur (Unterschrift) der Zertifizierungsstelle. Die Anwendungsprogramme können mit dem Zertifikat der Zertifizierungsstelle die Gültigkeit eines Zertifikates zu überprüfen.

Aus technischen oder organisatorischen Gründen, kann es sein, dass das Zertifikat einer Zertifizierungsinstanz seinerseits wieder einen Verweis auf ein Zertifikat einer übergeordneten Zertifizierungsinstanz enthält.

Auf diese Weise hat man eine Kette oder eine Hierarchie von Zertifikaten, die überprüft werden müssen, um die Gültigkeit eines Zertifikats zu überprüfen. Siehe dazu auch nachfolgende Abbildungen: Zertifikatskette Classic

Zertifikatskette Sicherheitsniveau Classic
(Zum Vergrößern/Verkleinern bitte das Bild anklicken)

Zertifikatskette Global

Zertifikatskette Sicherheitsniveau Global
(Zum Vergrößern/Verkleinern bitte das Bild anklicken)

Was ist ein Wurzelzertifikat?

Am oberen Ende der Hierarchie/Kette von Zertifikaten steht ein Wurzelzertifikat (engl. top-level certificate). Wurzelzertifikate werden von keiner anderen Zertifizierungsinstanz ausgestellt und enthalten keinen nachprüfbaren Verweis auf ein anderes Zertifikat. Die Zertifizierungsinstanz "unterschreibt" vielmehr ihr eigenes Zertifikat. Man nennt diese Zertifikate auch selbst-signiert.

Wurzelzertifikate müssen in den Anwendungsprogrammen (z.B. in Ihrem Browser) installiert sein, damit die Anwendungsprogramme die Hierarchie/Kette von Zertifikaten überprüfen können.

Die meisten Anwendungsprogramme bringen bereits vorintegrierte Wurzelzertifikate für kommerzielle Zertifizierungsinstanzen mit. Leider ist diese Vorintegration von verschiedenen, z.T. auch organisatorischen und finanziellen Vorraussetzungen abhängig. Daher sind die meisten Wurzelzertifikate der DFN-PCA nach wie vor in vielen Anwendungsprogrammen und Betriebssystemen nicht vorintegiert und müssen daher manuell importiert werden.

Wurzelzertifikate sollten Sie allerdings nur dann importieren/installieren, wenn Sie der entsprechenden Zertifizierungsinstanz vertrauen. Bei den vorintegrierten Wurzelzertifikaten, haben Sie diese Entscheidungsfreiheit nicht mehr.

Was steht in einem Zertifikat?

Zertifikate sind ein wesentlicher Bestandteil einer Public-Key-Infrastruktur und ermöglichen es, das altbekannte Konzept der Unterschrift auf elektronische Daten zu übertragen. Eine elektronische Unterschrift (digitale Signatur) wird erst durch das zugehörige Zertifikat überprüfbar.

Zertifikate enthalten im wesentlichen:

Die genauen Inhalte und das Datei-Format für Zertifikate findet sich in verschiedenen Normen, z.B. X.509 wieder.

Woran erkenne ich die Gültigkeit eines Zertifikats?

Anwendungsprogramme sollten bei der Überprüfung eines Zertifikats die gesamte zugehörige Hierarchie/Kette von Zertifikaten überprüfen. Wenn es dabei zu Fehlern, Lücken oder Widersprüchen kommt, sollte alle Anwendungsprogramme eine entsprechende Warnung geben.

Ruft man eine verschlüsselte Webseite über einen Link auf, der mit https:// beginnt (also über eine verschlüsselte Verbindung), darf es keine Warnmeldung geben. Gibt es dennoch eine Warnmeldung, sollte man diese ernst nehmen und deren Ursache klären, denn es könnte sich um Betrugsversuch handeln. Fragen Sie ggf. im User Service Center (USC) oder bei Ihrem zuständigen Systemadministrator nach.

In den gängigen Webbrowsern findet sich am unteren Fensterrand ein Schloss-Symbol. Über dieses Symbol erhalten Sie weitere Informationen zur verschlüsselten Verbindung und den Zertifikaten.

Beispiel Firefox 3 mit Zertifikaten der TUHH CA im Sicherheitsniveau Classic (zum Vergrößern/Verkleinern der Screenshots bitte die Icons anklicken):

  • "Doppelklicken" auf das Schloss-Symbol Firefox:Schlüsselsymbol
  • auf den Knopf Zertifikat anzeigen klicken Firefox:Allgemein
  • auf das Register Details wechseln Firefox:Details

Beispiel Internet Explorer 7 mit Zertifikaten der TUHH CA im Sicherheitsniveau Classic (zum Vergrößern/Verkleinern der Screenshots bitte die Icons anklicken):

  • "Doppelklicken" auf das Schloss-Symbol IE7:Schlosssymbol
  • auf Zertifikate anzeigen klicken IE7:Details
  • Zertifikatskette anzeigen über das Register Zertifizierungspfad IE7:Zertifikatskette

Bei einem gültigen Zertifikat muss u.a.

  • Der Besitzer/Server mit dem Server übereinstimmen, mit dem man die Verbindung aufbauen wollte.
  • Der vollständige Domainname (z.B. www.tuhh.de muss mit dem Domainnamen übereinstimmen, der im Zertifikat genannt wird.
  • Der Zugriff muss innerhalb des Gültigkeitszeitraumes erfolgen, d.h. das Zertifikat darf nicht abgelaufen sein
  • Die Zertifikatskette muss vollständig sein und bei einem Wurzelzertifikat enden, dem vertraut wird. Fehlt in der Kette ein Zertifikat, kann ein Zertifikat nicht verifiziert werden.
  • Es muss überprüft werden, ob das Zertifikat widerrufen wurde. Dazu muss geprüft werden, ob das Zertifikat auf der Sperrliste der Zertifizierungsinstanz steht.

Wann kann man einem Zertifikat vertrauen?

Das Vertrauen und die Gültigkeit eines Zertifikats sind zwei unterschiedliche Aspekte bei Einsatz von Zertifikaten. Während die Gültigkeit eines Zertifikats ganz klar überprüfbar ist, hängt das Vertrauen in ein Zertifikat auch vom weiteren Umfeld ab.

Der wichtigste Punkt dabei ist, ob die ausstellende Zertifizierungsstelle vertrauenswürdig und sicher arbeitet. Es gibt in Deutschland keine staatliche Einrichtung, die solche Zertifikate ausstellt. Es sind also private und/oder kommerzielle Einrichtungen, die z.T. gegen eine Gebühr solche Zertifikate ausstellen.

Die Vertrauenswürdigkeit einer Zertifizierungsstelle kann nach den organisatorischen und technischen Maßnahmen beurteilt werden, die zum Betrieb der Zertifizierungsinstanz getroffen wurden. Je höher der Aufwand, desto vertrauenswürdiger sind die Zertifikate aber ggf. auch die Kosten. Jede ernst zunehmende Zertifizierungsinstanz sollte schriftlich die Regeln festlegen, nach denen die Zertifikate ausgegeben werden (engl. Policy, vgl. dazu die Policy der TUHH CA).

Ein anderer wichtiger Punkt ist der sichere Betrieb des Servers. Zu jedem Zertifikat gehört ein Geheimnis (technische gesprochen: der private Schlüssel), das sicher vor unbefugtem Zugriff geschützt werden muss. Gelangt das Geheimnis in falsche Hände, ist das Zertifikat nicht mehr vertrauenswürdig.

Für diese Fälle ist ein Verfahren mit so genannten Sperrlisten vorgesehen, die alle Zertifikate enthalten, die nicht mehr vertrauenswürdig sind. Im Idealfall überprüfen die Anwendungsprogramme, wie z.B. die Webbrowser diese Listen vor jeder verschlüsselten Verbindung. In der Praxis funktioniert die Überprüfung mit Hilfe von Sperrlisten leider oft nicht.

Bitte beachten Sie, dass Zertifikate der TUHH CA nur für die Sicherheits-Anforderung im Bereich von Forschung und Lehre gedacht sind. Die Zertifikate der TUHH CA erfüllen nicht die gesetzlichen Vorgaben, wie diese im Signaturgesetz gefordert werden. Bei den Zertifikaten der TUHH CA handelt es sich um einfache Zertifikate.

Warum müssen Zertifikatswarnungen ernst genommen werden?

Fast jeder dürfte schon einmal eine Zertifikats-Warnung gesehen haben. Hier einige Beispiele (zum Vergrößern/Verkleinern der Screenshots bitte die Icons anklicken):
  • Firefox: Zertifikat ist abgelaufen Firefox:Abgelaufenes Zertifikat
  • Firefox 3: unbekannte Zertifizierungsinstanz Firefox:Zertifikatswarnung
  • Internet Explorer 7: unbekannte Zertifizierungsinstanz IE6:Zertifikatswarnung
  • Thunderbird: unbekannte Zertifizierungsinstanz thunderbird:Zertifikatswarnung

Gibt es eine Warnmeldung vom Webbrowser, kann es sich um einen Betrugsversuch oder um eine Fehlkonfiguration des Servers oder Ihres Webbrowsers handeln. In jedem Fall sollten Sie nach der Ursache für die Warnung suchen. Geben Sie auf keinen Fall vertrauliche Informationen wie Passworte oder Kontoinformationen ein!

Fragen Sie ggf. im User Service Center (USC) oder bei Ihrem zuständigen Systemadministrator nach.

Typische Warnmeldungen betreffen:

  • Das Zertifikat ist abgelaufen (engl. expired), d.h. der Zeitraum der Gültigkeit ist verstrichen.
  • Das Zertifikat ist für einen anderen Webserver ausgestellt, d.h. z.B. www.xyz.de präsentiert ein Zertifikat von www.abc.de.
  • Das Zertifikat ist selbst-signiert, d.h. der Besitzer des Zertifikats hat dieses selbst unterschrieben. Solche Zertifikate sind bestenfalls für Testzwecke geeignet.
  • Das Zertifikat wurde widerrufen.
  • Die Zertifizierungsinstanz (engl. Certification Authority), die das Zertifikat ausgestellt hat, ist dem Browser nicht bekannt. Dies kann bedeuten, dass hier ein Wurzelzertifikat fehlt, um die Zertifikatskette überprüfen zu können. Es könnte sich allerdings auch um einen Betrugsversuch handeln.
In jedem Fall sollten Sie die Zertifikatswarnung lesen, denn Sie gibt in der Regel einen guten Hinweis auf die Ursache.