Im Heise-Ticker finden Sie einen Artikel, in dem das Magazin vor kostenlosen SSL-Zertifikaten warnt. Hierin wird dann die Firma -StartCom- aus Israel genannt.
SSL ist die Abkürzung für Secure Socket Layer und eine asymmetrische Verschlüsselungsart, die 1994 durch die Firma Netscape entwickelt wurde. SSL ist heute in jedem modernen Browser integriert und sorgt für eine automatische Verschlüsselung der Daten zwischen Sender und Empfänger. Der Browser generiert beim Erstkontakt einen einmaligen Schlüssel von zumeist 128 Bit Länge, der dann von einem -vertrauenswürdigen- Empfänger abgeholt wird. Ob der Empfänger als -vertrauenswürdig- eingestuft ist, kann man sich in einem Zertifikat anzeigen lassen.
Vom Verfahren her läuft die Übergabe eines, durch den Browser generierten, Schlüssels wie folgt ab:
Der User stößt auf eine Seite, deren nachfolgenden Seiten nur verschlüsselt zugänglich sind.
Der Server gibt eine Meldung, dass es sich hier um einen abgesicherten Bereich handelt und schickt seinen öffentlichen Schlüssel für asymmetrische Verschlüsselungen zurück.
Aufgrund dieser Meldung generiert Ihr Browser eine Zufallszahl.
Die Zufallszahl wird mit dem öffentlichen Schlüssel des SSL-WWW-Servers asymmetrisch verschlüsselt zurück geschickt.
Der SSL-WWW-Server entschlüsselt die Zufallszahl mit seinem privaten Schlüssel aus seinem Zertifikat.
Fortan werden die Daten mit der Zufallszahl verschlüsselt und über das https - Protokoll übermittelt.
Ob der SSL-WWW-Server tatsächlich ein seriöses Zertifikat besitzt, dürfte nach dem Bericht von Heise zukünftig fragwürdig sein.
Um nämlich ein als seriös eingestuftes Zertifikat zu bekommen, bedarf es einer vorherigen seriösen Zertifizierung. Solche Zertifizierungen werden in Deutschland beispielsweise von der Post durchgeführt. Dabei fungiert die Post zunächst als -Registrierungsstelle- bei der sich ein Zertifikat-Antragsteller vorher persönlich auszuweisen hat. Die Post lässt dann durch eine (räumlich getrennte) Zertifizierungsstelle einen Schlüssel und ein Zertifikat erstellen, die dem Antragsteller dann postalisch übermittelt werden.
Nach dem Heise-Bericht sieht die israelische Firma -StartCom- eine Zertifizierung wesentlich lockerer. Schon bei der Schlüsselerstellung geht -StartCom- nicht sonderlich seriös vor: Der "Certificate Creation Wizard" erzeugt den Privaten Schlüssel auf dem Server der israelischen Firma und übermittelt ihn dem Website-Betreiber über eine (...SSL-gesicherten...) Website. Eine Garantie, dass nicht eine Kopie des geheimen Schlüssels bei -StartCom- verbleibt, erhält er nicht. Mit einer solchen Kopie wäre es möglich, alle verschlüsselten Verbindungen des Servers zu dechiffrieren.
StartCom wirbt: "Andere Unternehmen ziehen Ihnen nur das Geld aus der Tasche. SSL ist dazu da, den Traffic zwischen Browser und Server zu verschlüsseln. Punkt!" Daher biete man über ein Webfrontend nun von StartCom bestätigte Zertifikate an, die der Webmaster zur SSL-Verschlüsselung einsetzen kann.
Ein sicherer Schlüssel und ein seriöses Zertifikat müssen nicht teuer sein. Heise bietet beispielsweise jedes Jahr auf der CeBIT einen Service an, bei dem Sie relativ unkompliziert einen Schlüssel und ein Zertifikat beantragen können. Am Heise-Stand stellen Sie einen Antrag, weisen sich mit Ihrem Personalausweis aus und generieren Vorort Ihren eigenen Schlüssel durch willkürlich eingegebenen Tastenkombinationen, deren Ergebnis auf einer einzigen Diskette festgehalten ist. Diese Diskette erhalten Sie Vorort und kostenlos ausgehändigt. Das spätere Zertifikat erhalten Sie, wenn Sie einen einmalig (auf der Diskette befindlichen) Codestring an die Heise -Zertifizierungsstelle- schicken.
