Julius: Zertifikat Probleme allgemein

Beitrag lesen

Hallo Henry,

Nun gibt es zwar ausreichend Fachliteratur darüber im Netz, allerdings entweder zu fachlateinisiert oder zu oberflächlich.

Probleme werden meinem Empfinden nach recht häufig auf den einschlägigen IT-News-Portalen wie heise oder golem in verständlichen Worten thematisiert, weil bestimmt einmal im Monat eine Firma oder Organisation so richtig in die Scheiße greift. Dadurch bekommt man Einiges mit und kann dann mit den richtigen Schlagwörtern auf Recherche gehen.

Was ich z.B. nie begriffen habe ist, wie kann mir jemand ein falsches Zertifikat unterjubeln und vor allem, was für einen praktischen Nutzwert hätte man davon, ich komm doch trotzdem auf die richtige Seite, oder?

Kurz: Nein, nicht unbedingt.

Dafür solltest du dir vielleicht einmal vor Augen führen, was bei einer Kommunikation ohne Signierung und Verschlüsselung möglich ist. – Ich kann mich mit geeigneten technischen Mitteln zwischen dich (Client) und den Server schalten und habe dann folgende Möglichkeiten:

  1. Ich könnte problemlos deine Eingaben mitlesen und verfolgen, welche Seiten du aufrufst, also die Vertraulichkeit der Kommunikation aushebeln.
  2. Ich könnte problemlos die zwischen dir und dem Server gesendeten Daten manipulieren, also die Integrität der Kommunikation zerstören.
  3. Ich könnte im Namen Dritter (Serverbetreiber, Du) agieren, ich breche als die Authentizität der Verbindung. Ich könnte beispielsweise bei einer Bestellung in einem Webshop deine bestellten Stückzahlen verdreifachen, ohne dass dem Server-Betreiber klar ist, dass ich das war und nicht du.

Konkrete Beispiele dafür findest du im Wiki (lesen und den Links in den Fußnoten folgen).

Diese drei Probleme löst HTTPS/TLS mehr oder weniger gut (DNS-Abfragen werden noch nicht verschlüsselt und signiert, doppelte Zertifikate für eine Domain sind ausstellbar (z. B. Symantec 2015 und 2017), Zertifikate sind nur schlecht vor dem Ablauf der Gültigkeit ungültig erklärbar). Der derzeitige Stand von HTTPS ist aber schon ein deutlicher Fortschritt gegenüber unverschlüsselten Verbindungen.

Um noch einmal auf deine ursprüngliche Frage zurückzukommen:
Natürlich kann es sein, dass du dennoch die „richtige“ Seite bekommst, aber garantiert[1] ist das nicht. Es kann sich um einen technischen Fehler handeln oder um einen Angriff.

Gruß
Julius



  1. „garantiert“ im Sinne von „höchst-höchstwahrscheinlich“ 😉 ↩︎