SSL-Zertifikat: Unterschied zwischen den Versionen

Aus schokokeks.org Wiki
Zur Navigation springen Zur Suche springen
Ruderich (Diskussion | Beiträge)
K typo
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
{{UnderConstruction}}
Um Seiten verschlüsselt übertragen zu können, benötigt man ein SSL-Zertifikat. Das SSL-Zertifikat ist zuständig für die Verschlüsselung der Inhalte, sowie auch für die Identitäts-Beglaubigung einer Website.
Um Seiten verschlüsselt übertragen zu können, benötigt man ein SSL-Zertifikat. Das SSL-Zertifikat ist zuständig für die Verschlüsselung der Inhalte, sowie auch für die Identitäts-Beglaubigung einer Website.


Zeile 5: Zeile 4:
== Zertifizierungsstellen ==
== Zertifizierungsstellen ==


===Kommerziellen Anbieter===
===Kommerzielle Anbieter===


Der traditionelle Weg zur Identitäts-Beglaubigung führt über sogenannte ''Certification Authorities'' (CAs). Diese Firmen stellen nach einer Prüfung der persönlichen Daten ein Zertifikat aus, das eine begrenzte Gültigkeit besitzt. Nach Ablauf dieser Frist, muss das Zertifikat erneuert werden.
Der traditionelle Weg zur Identitäts-Beglaubigung führt über sogenannte ''Certification Authorities'' (CAs). Diese Firmen stellen (teilweise nach einer Prüfung der persönlichen Daten) ein Zertifikat aus, das eine begrenzte Gültigkeit besitzt. Nach Ablauf dieser Frist, muss das Zertifikat erneuert werden.


Diese Methode hat unserer Auffassung nach zwei elementare Nachteile:
Diese Methode hat unserer Auffassung nach zwei elementare Nachteile:
# Die Prüfung der Identität wird dem Website-Betreiber sehr teuer in Rechnung gestellt. Den Preis für ein derartiges Zertifikat kann sich eine kleine Firma wie schokokeks.org Webhosting nicht leisten.
# Der Besucher der Website vertraut dem Aussteller des Zertifikats ''blind'', in aller Regel ohne überhaupt jemals etwas über diese Firma gehört zu haben. Die Tatsache, dass bei einem Download eines Browsers (aus einer x-beliebigen Download-Quelle) diese Zertifizierungsstelle als vertrauenswürdig eingetragen ist, ist die Basis des Vertrauens.
# Der Aussteller des Zertifikats ist eine kommerzielle Firma und keine Staatliche Organisation. Ein Besucher einer Website, die mit einem derartigen Zertifikat identifiziert wird, muss nun dieser Firma bedingungslos vertrauen, denn nur dann funktioniert dieses Prinzip.  
# Die Kosten für die Technik der Zertifikatsausstellung sind praktisch nicht messbar. Heutzutage wird meist noch nicht einmal mehr die Identität eines Website-Betreibers überprüft sondern es wird nur durch ein personalloses E-Mail-Verfahren geprüft, dass derjenige der den Antrag stellt auch Verwalter der Domain ist. In Relation zu der erzeugten Verlässlichkeit sind die Preise für solche Zertifikate auch beim aktuellen Niveau wesentlich zu teuer.


===CAcert.org===
===CAcert.org===


Alternativ gibt es einen moderneren Ansatz, der auf einem ''Web-of-Trust'' (Vertrauens-Netzwerk) basiert und so funktioniert:
Alternativ gibt es einen moderneren Ansatz, der auf einem ''Web-of-Trust'' (Vertrauens-Netzwerk) basiert und so funktioniert:
* Jeder Benutzer des Internet kann sich kostenlos und unverbindlich bei der Website des Betreibers (ein Verein) anmelden.
* Jeder Interessent kann sich kostenlos und unverbindlich bei der Website des Betreibers (einem Verein) anmelden.
* Er wird lediglich über eine E-Mail-Adresse identifiziert, die per Bestätigungs-E-Mail überprüft wird.
* Er wird lediglich über eine E-Mail-Adresse identifiziert, die per Bestätigungs-E-Mail überprüft wird. Also genau wie bei den Billigangeboten der kommerziellen Zertifizierungsstellen.
* Dann gibt es ein Punkte-System, bei dem erfahrene Benutzer (mit vielen Punkten) Punkte an neue Benutzer vergeben können. Dabei prüft der erfahrene Benutzer die staatlichen Ausweispapiere bei einem '''persönlichen Treffen''' und unterschreibt, dass der betreffende Benutzer diesen Namen trägt. Diese Unterschrift leistet er auch elektronisch, wodurch der neue Benutzer Punkte bekommt.
* Dann gibt es ein Punkte-System, bei dem erfahrene Benutzer (mit vielen Punkten) Punkte an neue Benutzer vergeben können. Dabei prüft der erfahrene Benutzer die amtlichen Ausweispapiere bei einem '''persönlichen Treffen''' und unterschreibt auf einem vorgegebenen Formular, dass der betreffende Benutzer ausgefüllt hat. Diese Unterschrift leistet er zusätzlich auch elektronisch, wodurch der neue Benutzer Punkte bekommt.
* Sobald der neue Benutzer die Unterschriften von mehreren (mind. 3) unabhängigen anderen Benutzern erhalten hat, kann er auch selbst neue Benutzer beglaubigen.
* Sobald der neue Benutzer die Unterschriften von mehreren (mind. 3) unabhängigen anderen Benutzern erhalten hat, kann er auch selbst neue Benutzer beglaubigen.
* Mit der Beglaubigung durch 2 erfahrene Benutzer wird der Name in das Profil eingetragen und der Benutzer kann SSL-Zertifikate mit seinem Namen versehen.
* Mit der Beglaubigung durch 2 erfahrene Benutzer wird der Name in das Profil eingetragen und der Benutzer kann SSL-Zertifikate mit seinem Namen versehen.
Dieses Verfahren löst die beiden elementaren Nachteile des oberen Systems:
# Die Identitäts-Prüfung muss nicht von einer Firma erledigt werden, dadurch ist die Zertifikats-Vergabe kostenlos
# Die Identität des Benutzer wird immer durch mehrere Personen beglaubigt.


Der Nachteil dieses Systems liegt leider momentan noch darin, dass der Betreiber-Verein nicht die finanziellen Mittel hat, die sehr teuren Überprüfungen zu absolvieren, die nötig sind um in den Lieferumfang der bekannten Browser hinein zu kommen.
Der Nachteil dieses Systems liegt leider momentan noch darin, dass der Betreiber-Verein nicht die finanziellen Mittel hat, die sehr teuren Überprüfungen zu absolvieren, die nötig sind um in den Lieferumfang der bekannten Browser hinein zu kommen.
Zeile 32: Zeile 27:
Es ist jedoch sehr einfach, die nötigen Zertifikate im Browser zu installieren, sodass künftig alle von CAcert beglaubigten Websites ohne diese Warnung aufgerufen werden können.
Es ist jedoch sehr einfach, die nötigen Zertifikate im Browser zu installieren, sodass künftig alle von CAcert beglaubigten Websites ohne diese Warnung aufgerufen werden können.


 
Besuchen Sie dazu bitte die Adresse http://www.cacert.org/index.php?id=3 und installieren Sie bitte das Root Certificate (Class 1). Benutzen Sie bitte im Zweifel die PEM-Variante.
=== Das Root-Zertifikat ===
...


[[Kategorie:SSL]]
[[Kategorie:SSL]]

Version vom 17. März 2009, 19:20 Uhr

Um Seiten verschlüsselt übertragen zu können, benötigt man ein SSL-Zertifikat. Das SSL-Zertifikat ist zuständig für die Verschlüsselung der Inhalte, sowie auch für die Identitäts-Beglaubigung einer Website.


Zertifizierungsstellen

Kommerzielle Anbieter

Der traditionelle Weg zur Identitäts-Beglaubigung führt über sogenannte Certification Authorities (CAs). Diese Firmen stellen (teilweise nach einer Prüfung der persönlichen Daten) ein Zertifikat aus, das eine begrenzte Gültigkeit besitzt. Nach Ablauf dieser Frist, muss das Zertifikat erneuert werden.

Diese Methode hat unserer Auffassung nach zwei elementare Nachteile:

  1. Der Besucher der Website vertraut dem Aussteller des Zertifikats blind, in aller Regel ohne überhaupt jemals etwas über diese Firma gehört zu haben. Die Tatsache, dass bei einem Download eines Browsers (aus einer x-beliebigen Download-Quelle) diese Zertifizierungsstelle als vertrauenswürdig eingetragen ist, ist die Basis des Vertrauens.
  2. Die Kosten für die Technik der Zertifikatsausstellung sind praktisch nicht messbar. Heutzutage wird meist noch nicht einmal mehr die Identität eines Website-Betreibers überprüft sondern es wird nur durch ein personalloses E-Mail-Verfahren geprüft, dass derjenige der den Antrag stellt auch Verwalter der Domain ist. In Relation zu der erzeugten Verlässlichkeit sind die Preise für solche Zertifikate auch beim aktuellen Niveau wesentlich zu teuer.

CAcert.org

Alternativ gibt es einen moderneren Ansatz, der auf einem Web-of-Trust (Vertrauens-Netzwerk) basiert und so funktioniert:

  • Jeder Interessent kann sich kostenlos und unverbindlich bei der Website des Betreibers (einem Verein) anmelden.
  • Er wird lediglich über eine E-Mail-Adresse identifiziert, die per Bestätigungs-E-Mail überprüft wird. Also genau wie bei den Billigangeboten der kommerziellen Zertifizierungsstellen.
  • Dann gibt es ein Punkte-System, bei dem erfahrene Benutzer (mit vielen Punkten) Punkte an neue Benutzer vergeben können. Dabei prüft der erfahrene Benutzer die amtlichen Ausweispapiere bei einem persönlichen Treffen und unterschreibt auf einem vorgegebenen Formular, dass der betreffende Benutzer ausgefüllt hat. Diese Unterschrift leistet er zusätzlich auch elektronisch, wodurch der neue Benutzer Punkte bekommt.
  • Sobald der neue Benutzer die Unterschriften von mehreren (mind. 3) unabhängigen anderen Benutzern erhalten hat, kann er auch selbst neue Benutzer beglaubigen.
  • Mit der Beglaubigung durch 2 erfahrene Benutzer wird der Name in das Profil eingetragen und der Benutzer kann SSL-Zertifikate mit seinem Namen versehen.

Der Nachteil dieses Systems liegt leider momentan noch darin, dass der Betreiber-Verein nicht die finanziellen Mittel hat, die sehr teuren Überprüfungen zu absolvieren, die nötig sind um in den Lieferumfang der bekannten Browser hinein zu kommen.

Unsere Zertifizierungsstelle

Aufgrund der oben genannten Vorteile nutzen wir Zertifikate von CAcert. Beim ersten Aufruf einer von CAcert beglaubigten Website erhalten Besucher leider eine Warnung, dass das Zertifikat nicht vertrauenswürdig sei. Es ist jedoch sehr einfach, die nötigen Zertifikate im Browser zu installieren, sodass künftig alle von CAcert beglaubigten Websites ohne diese Warnung aufgerufen werden können.

Besuchen Sie dazu bitte die Adresse http://www.cacert.org/index.php?id=3 und installieren Sie bitte das Root Certificate (Class 1). Benutzen Sie bitte im Zweifel die PEM-Variante.