illu cc0 aa
Https-Webseiten vermitteln Vertrauen: Eine Zertifizierungsstelle (»Certificate Authority«, CA) verbrieft, dass der Kommunikationspartner auch tatsächlich der ist, für den er sich ausgibt. Sichtbares Zeichen ist das SSL/TLS-Zertifikat, das zugleich die Kommunikation zwischen Browser und Website per Verschlüsselung absichert.
In der Vergangenheit gelang es jedoch immer wieder Online-Betrügern, sich vertrauenswürdige SSL-Zertifikate auszustellen. »Das Vertrauen in das Sicherheitskennzeichen »SSL-Zertifikat« hängt deshalb stark davon ab, wie viel Vertrauen Internetnutzer der ausgebenden Zertifizierungsstelle schenken«, sagt Christian Heutger, Geschäftsführer der PSW GROUP. Das Unternehmen, mit Schwerpunkt IT-Sicherheit, vermittelt SSL-Zertifikate von Zertifizierungsstellen, die Wert auf sichere sowie zukunftsträchtige Algorithmen und Hash-Funktionen legen.
SHA-2-Zertifikate
Wer ein SSL-Zertifikat bestellt, muss den Praktiken der jeweils ausgewählten Zertifizierungsstelle also voll vertrauen. Dies gilt insbesondere bei der Frage welche Verschlüsselungsalgorithmen, Hashfunktionen und Schlüssellängen in einer sich ständig ändernden Branche als sicher eingestuft werden. Dazu Christian Heutger: »Zertifikate setzen sich unter anderem aus dem Verschlüsselungsalgorithmus und einer Hash-Funktion zusammen. Um die Sicherheit zu erhalten, ist es unabdingbar, dass die verwendeten Parameter dem Stand der Zeit angepasst werden. So wurde beispielsweise Ende letzten Jahres bekannt, dass der bisher häufig verwendete, jedoch in die Jahre gekommene Hash-Algorithmus SHA-1 durch den Nachfolger SHA-2 ausgetauscht wird.« Ab Januar 2017 werden Google, Microsoft und weitere Branchenriesen aufhören, SHA-1-Zertifikaten zu vertrauen. Der IT-Sicherheitsexperte rät Anwendern deshalb, sich schon jetzt für SHA-2-Zertifikate zu interessieren.
Anerkannte Zertifizierungsstellen
Woran Anwender außerdem eine vertrauensvolle Zertifizierungsstelle erkennen können, erklärt Heutger so: »Eine von Browser- sowie Betriebssystem-Entwicklern und Herstellern mobiler Geräte anerkannte Zertifizierungsstelle muss detaillierte und strenge Richtlinien erfüllen. Erst dann ist es der Zertifizierungsstelle gestattet, SSL-Zertifikate auszustellen, die sämtliche Browser als vertrauenswürdig einstufen.«
Hinzu kommt: Je länger eine Zertifizierungsstelle in Betrieb ist, umso mehr Browser und Geräte vertrauen den von ihr ausgestellten Zertifikaten: »Vertrauen Browser einer Zertifizierungsstelle, nehmen sie die Root-Zertifikate, das sind unsignierte Public-Key- oder selbstsignierte Zertifikate, in ihren Stammspeicher auf. Die vorinstallierten Root-Zertifikate werden von den Zertifizierungsstellen verwendet, um Zwischenzertifikate auszustellen. Sie dienen später dazu, Zertifikate für die End-Identität ausstellen zu können, zum Beispiel ein SSL-Zertifikat für die Website eines Unternehmens«, so Heutger weiter.
Eine gute Zertifizierungsstelle erkennen Anwender aber auch an der Veröffentlichung der sogenannten Certificate Policy (CP) sowie des Certificate Practice Statements (CPS). Erstere beschreibt die unterschiedlichen Akteure einer Public Key Infrastructure, deren Rollen, Rechte und Pflichten. Das Certificate Practice Statement beinhaltet Informationen über die Zertifizierungspraktiken, enthält also Aussagen über Richtlinien, die eine CA zum Ausstellen der Zertifikate effektiv umsetzt.
Zertifizierungsstellen müssen sich darüber hinaus regelmäßig einem WebTrust- oder ETSI-Audit unterziehen. Den Nachweis zu dieser Prüfung erkennen Anwender am Logo auf der Website der jeweiligen CA. Eine Mitgliedschaft im Certification Authority Browser Forum sorgt ebenfalls für Vertrauen. »Dieser freiwilligen Organisation gehören verschiedene führende Zertifizierungsstellen an. Die Foren-Mitglieder haben Instrumente eingeführt, die beim Umsetzen des Extended Validation-Standards eine höhere Sicherheit schaffen«, ergänzt Christian Heutger.
Weitere Informationen unter: https://www.psw-group.de/blog/ca-woran-sie-eine-gute-zertifizierungsstelle-erkennen/2448
Gefälschte digitale Zertifikate zur Signierung von Schadprogrammen