Self-Signed Certificates

Just heute wurde ich wieder darauf gestossen, self-signed Certificates wären per Definition unsicher.

Warum?

Sehen wir uns einmal den Unterschied an.
Ein self-signed Certificate ist mit dem eigenen Schlüssel signiert. Punkt.
Punkt? Ja, denn das ist – abgesehen vom Geld – der einzige, wirklich einzige Unterschied. Persönlich fallen für mich auch Zertifikate darunter, die ich selbst mit meiner CA ausstelle, deren Rootzertifikat grundsätzlich selbstsigniert ist. Deren Erstellung und Schlüssel unterliegt ja ebenso meiner Kontrolle wie der des einzelnen Zertifikates. Natürlich, dieses Rootzertifikat ist nicht in den Listen der Browser enthalten, daher fragen diese beim Benutzer nach. Dies tut allerdings der Sicherheit des Zertifikates an sich keinen Abbruch.

Bei einem „kommerziellen“ Zertifikat erstelle noch immer ich den CSR (certificate signing request) und schicke diesen an einen Dienstleister, der dann den Schritt der Zertifikatserstellung übernimmt (und nebenbei auch noch einiges an Zusatzinfo aus dem Zertifikat löscht, aber bitte). Die Ãœberprüfung beschränkt sich im Grunde darauf, ob der Besteller irgendwas mit der Domain, für die das Zertifikat beantragt wurde, machen kann – da reicht es auch schon, einen META-Tag in die Seite einzubauen…

Dann erhalte ich, nach Zahlung eines gewissen Betrages, ein Zertifikat, das exakt denselben Inhalt und Zweck hat, wie das selbst signierte. Ausser, dass es erheblich weniger an Informationen enthält – und das Rootzertifikat i.d.R. bereits in die Zertifikatsverwaltung der Browser eingetragen ist.

Damit dürfte klar sein – aus technischer Sicht sind self-signed certificates nicht unsicherer als ihre kommerziellen Pendants. Im Zweifel sogar noch sicherer, da meine private CA, die keine Bankseiten und Shops mit Zertifikaten versorgt, ein reichlich uninteressantes Angriffsziel für Kriminelle ist. Der Unterschied besteht darin, dass man bei Aufruf einer Seite gefragt wird, ob man dem Aussteller des Zertifikates traut – also der Seite selbst, i.d.R.. Hierfür ist es sogar sehr gut, wenn das Zertifikat möglichst viele Informationen zum Ersteller enthält.
Wenn man diese Frage verneint stellt natürlich wiederum die Frage, wieso man dann überhaupt die entsprechende Seite aufruft…

Bleibt zusammenfassend zu sagen, kommerzielle Zertifikate sind, in der einfachen Ausprägung, eine kosmetische Option, da der Browser nicht nachfragt. Selbst signierte Zertifikate sind demgegenüber nicht schlechter, oder technisch unsicherer.

„Wirkliche“ Sicherheit – auch über die Identität des Beantragenden – bieten hingegen sogenannte EV-Zertifikate. Diese werden aber i.d.R. nicht an Privatpersonen ausgestellt, und sind zudem dermaßen teuer, dass hier ernsthaft nur Firmen (und die Mafia) darüber nachdenken können.

Nachtrag:
Natürlich kann ich mir selbst ein Zertifikat für google.com erstellen. Oder eine beliebige Bank. Aber das ist ein anderes Thema, und funktioniert auch nicht SO einfach.

Über Alariel

Seit diversen Jahren Systemadministrator im Bereich Linux, noch länger passionierter Rollenspieler, Reenactor und überzeugter "Heide". Nebenbei noch Tätig im Bereich der Webseitengestaltung, ob nun einzelne Seiten oder auch mehr.
Dieser Beitrag wurde unter Admin-Stuff veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.