Moin!

Wofür ist ein solches Zertifikat und wie kann man es "herstellen"?

Das kriegt man vom zentralen Zertifikatsaussteller.

Ich habe mich am Rande mal mit PGP beschäftigt, meine aber, daß die dortigen "öffentlichen Schlüssel" doch ein wenig anders geartet waren.

Es gibt zwei Arten von Zertifikatsverbreitung.

PGP nutzt eine davon: Jeder erstellt sein Zertfikat selbst, und jeder andere muß irgendwie die Authentizität des Zertifikats selbst feststellen. Das geht einerseits durch direkten Kontakt und Austausch des Fingerprints, andererseits durch das Web of Trust, d.h. wenn jemand anderes, den man kennt, das Zertifikat schon als echt bestätigt hat, glaubt man diesem die Echtheit.

Im Gegensatz dazu steht die Möglichkeit, dass eine zentrale Stelle digitale Unterschriften unter Zertifikate setzt. Jeder kann anhand dieser digitalen Signatur die Echtheit prüfen, auch ohne vorher in Kontakt getreten zu sein. Das Problem ist allerdings, dass man der Zentralstelle bzw. deren Subzentralen vollständig vertrauen muß, dass keine falschen Zertifizierungen vorgenommen werden.

Und sowas kommt durchaus vor: Unlängst ist es Phishern gelungen, eine .com-Domain zu registrieren, die genauso hieß, wie eine amerikanische Bank (die Bank benutzt eine andere Domain - warum diese Domain noch frei war, ist unbekannt), und erhielt für diese Domain tatsächlich auch ein SSL-Zertifikat.

Wobei die Frage ist, was SSL überhaupt leisten kann. In allererster Linie sichert es den Datentransfer gegen Manipulation ab. Und in zweiter Linie erklärt es, dass das Zertifikat des SSL-Servers auch zur Domain dieses Servers paßt, dass man also tatsächlich mit der gewünschten Domain spricht. Keine Aussagen hingegen wird im Prinzip darüber gemacht, ob der Serverbetreiber nun lautere oder unlautere Absichten hegt.

- Sven Rautenberg