Firmenbrief

19.02.2008

Fragen zu Linux - Der LIS-Service antwortet



An dieser Stelle berichten regelmäßig die klugen Köpfe, die an unserer Service-Hotline
sitzen.

Frage an unseren Service: Auf manchen Internet-Seiten fragt mich mein Mozilla-Browser,
ob ich ein Zertifikat akzeptiere. Was hat es damit auf sich?

Antwort vom LIS-Service: Es geht hier um Ihre Sicherheit im Internet. Wenn Sie eine
"normale" Webseite aufrufen, fragt Ihr Browser die Seite unverschlüsselt ab. Der Server
am anderen Ende sendet die Seite ebenso unverschlüsselt zu Ihnen. Unverschlüsselt bedeutet,
dass die Daten, die übertragen werden, von allen Rechnern, die als Zwischenstationen
dienen, mitgelesen werden können.

In vielen Fällen spielt das keine Rolle, jedoch ist dies natürlich nicht gewünscht,
wenn sensible Daten übertragen werden wie etwa beim Online-Banking. Hierfür wird
Verschlüsselung eingesetzt: Der Server schickt ein so genanntes Zertifikat und teilt
dem Browser mit, wie er verschlüsseln kann. Die darauf folgende Kommunikation erfolgt
verschlüsselt. Wichtig hierbei ist, ob Sie mit dem richtigen Rechner kommunizieren
oder ob Ihre Daten von Betrügern abgefangen werden. Auch wenn so etwas meist nicht
lange unentdeckt bleibt, kann der Name eines Rechners oder seine IP durchaus gefälscht
werden - eine so genannte "Man-in-the-Middle-Attack". Es hat sich jemand zwischen Sie
und den Server geschaltet, den Sie erreichen wollen.

Hier übernimmt das Zertifikat seine wichtige Aufgabe: Es ist eine Digitale Signatur,
ein "Ausweis", der nach dem Stand der Technik nicht gefälscht werden kann. Allerdings
müssen Sie das Zertifikat auf Echtheit prüfen. Normalerweise geschieht das, indem im
Browser eine Reihe von CA (Certificate Authorities) hinterlegt sind. CAs sind
Rechner von Dritten, die einzig zur Aufgabe haben zu prüfen, ob ein Zertifikat von dem
Rechner kommt, auf den Sie wollen. Um dies auszuhebeln, müßte ein Betrüger nun schon
zwei Rechner unter Kontrolle bekommen. Wenn ein Zertifikat von einer CA, die Sie als
vertrauenswürdig angegeben haben, fragt der Browser nicht nach. Das Gegenüber ist
identifiziert, und die Übertragung läuft verschlüsselt. Allerdings sind manche Server-
Zertifikate nicht bei den CAs zu finden, dann startet der Browser die Rückfrage, mit
den Worten "Der Name des Servers stimmt mit dem Zertifikat nicht überein" oder
ähnlich. Dann sollten Sie das Zertifikat prüfen. Das können Sie tun, indem Sie den
"Fingerprint" erfragen und diese mit dem Zertifikat vergleichen. Wenn dies
übereinstimmt, können Sie das Zertifikat mit dem Wahlfeld "für immer akzeptieren"
annehmen, die Alternative wäre "nur für diese Sitzung akzeptieren". Im Übrigen gilt dies
analog für SSL-verschlüsselten E-Mail-Verkehr; die dahinter liegende Technik ist die
selbe.