Dirks Logbuch

Nach dem Artikel CAs hinzufügen bin ich zurecht darauf "hingewiesen" worden, dass ich ein Wort zum Prüfen von Fingerprints hätte verlieren sollen, dass habe ich als Achtung noch nachträglich getan.

Allerdings muss ich gestehen, dass ich das Thema rund um Zertifikate und wie die Strukturen implementiert sind für maximal kaputt halte.

Jedem muss bewusst sein, dass mehr als 95% (geschätzt) aller Nutzer Zertifikatsfehler einfach akzeptieren und wegklicken.

Wenn dann noch dazu kommt, dass selbst gehackte Certificate Authorities (CAs) - das sind die, die bestätigen (unterschreiben), dass die Zertifikate korrekt sind - nicht automatisch aus den Browsern entfernt werden, muss man sich schon fragen, was das alles soll.

Als letztes sollte man sich einmal anschauen, wie die CAs arbeiten und welche Art von Identitäsnachweisen verlangt werden. Für die einfachsten Beglaubigungen wird nur eine E-Mail an den Webmaster der Domain versendet. Diese E-Mail wird unverschlüsselt verschickt und kann abgefangen werden.

Tatsächlich finde ich das Verfahren von CAcert, dass eine Identität wenigstens von drei Leuten (Assurers) bestätigt werden muss besser als viele andere, aber CAcert schafft es seit Jahren leider nicht in die Browser.

Aber es ist auch mit Fingerprints - einer Art Prüfsumme - nicht trivial herauszufinden, ob das Zertifikat der Authorisierungsstelle wirklich korrekt ist. Wenn das Zertifikat auf dem Transportweg ausgetauscht wird, kann auch der Fingerprint auf dem gleichen Weg getauscht werden. Am besten wäre es den Fingerprint auf einer dritten Seite zu finden, oder die Webseite mit dem Zertifikat durch eine andere Authorisierungsstelle zertifizieren zu lassen.

Let's Encrypt ist eine grossartige Initiative der Electronic Frontier Foundation (EFF), die sicher dafür sorgen wird, dass mehr verschlüsselt wird. Aber auch da wird nur bestätigt, dass derjenigem, der das Zertifikat bestellt auch die Webseite betreibt, ohne zu prüfen, wer das eigentlich ist.

Worüber ich an dieser Stelle noch gar nichts geschrieben habe, ist, dass ich keinen Einfluss darauf habe, welche CA-Zertifikate der Browser, den ich benutze, standardmässig installiert hat. Ich kann mir noch nicht einmal sicher sein, dass der Browser nicht mit falschen oder gefälschten Zertifikaten ausgeliefert wird. Es ist alles eine Frage des Vertrauens.

Also zusammengefasst:

Wir haben kein technologisches, sondern ein strukturelles Problem.

Zertifikate taugen dazu, Verschlüsselung zwischen einem Client und einem Server sicher zu stellen. Da der Entschlüsselungs-Key nicht herausgegeben wird, kann sichergestellt werden, dass es niemand mitlesen kann (davon ausgenommen sind lange laufende Brute-Force-Attacken, die mit ausreichend Rechenleistung Erfolge haben könnten, nicht müssen!). Der Identität hinter "einfachen" Zertifikaten, wie sie von Hobbyisten verwendet werden, würde ich nicht vertrauen. Höherwertige Zertifikate machen eine erweiterte Identitätsprüfung, da ist es sicherer - auch nicht 100% - dass der Betreiber auch wirklich der Betreiber ist.

Und wer das alles für Humbug hält, dem sei gesagt, dass einer der grössten Hoster Deutschlands 99% der Zertifikate mit dem einfachsten Verfahren ausstellen lässt.