SSL-Zertifikat

Aus schokokeks.org Wiki
Zur Navigation springen Zur Suche springen

Um Seiten verschlüsselt übertragen zu können, benötigt man ein SSL-Zertifikat. Das SSL-Zertifikat ist zuständig für die Verschlüsselung der Inhalte, sowie auch für die Identitäts-Beglaubigung einer Website.


Zertifizierungsstellen

Kommerzielle Anbieter

Der traditionelle Weg zur Identitäts-Beglaubigung führt über sogenannte Certification Authorities (CAs). Diese Firmen stellen (teilweise nach einer Prüfung der persönlichen Daten) ein Zertifikat aus, das eine begrenzte Gültigkeit besitzt. Nach Ablauf dieser Frist, muss das Zertifikat erneuert werden.

Diese Methode hat unserer Auffassung nach zwei elementare Nachteile:

  1. Der Besucher der Website vertraut dem Aussteller des Zertifikats blind, in aller Regel ohne überhaupt jemals etwas über diese Firma gehört zu haben. Die Tatsache, dass bei einem Download eines Browsers (aus einer x-beliebigen Download-Quelle) diese Zertifizierungsstelle als vertrauenswürdig eingetragen ist, ist die Basis des Vertrauens.
  2. Die Kosten für die Technik der Zertifikatsausstellung sind praktisch nicht messbar. Heutzutage wird meist noch nicht einmal mehr die Identität eines Website-Betreibers überprüft sondern es wird nur durch ein personalloses E-Mail-Verfahren geprüft, dass derjenige der den Antrag stellt auch Verwalter der Domain ist. In Relation zu der erzeugten Verlässlichkeit sind die Preise für solche Zertifikate auch beim aktuellen Niveau wesentlich zu teuer.

CAcert.org

Alternativ gibt es einen moderneren Ansatz, der auf einem Web-of-Trust (Vertrauens-Netzwerk) basiert und so funktioniert:

  • Jeder Interessent kann sich kostenlos und unverbindlich bei der Website des Betreibers (einem Verein) anmelden.
  • Er wird lediglich über eine E-Mail-Adresse identifiziert, die per Bestätigungs-E-Mail überprüft wird. Also genau wie bei den Billigangeboten der kommerziellen Zertifizierungsstellen.
  • Dann gibt es ein Punkte-System, bei dem erfahrene Benutzer (mit vielen Punkten) Punkte an neue Benutzer vergeben können. Dabei prüft der erfahrene Benutzer die amtlichen Ausweispapiere bei einem persönlichen Treffen und unterschreibt auf einem vorgegebenen Formular, dass der betreffende Benutzer ausgefüllt hat. Diese Unterschrift leistet er zusätzlich auch elektronisch, wodurch der neue Benutzer Punkte bekommt.
  • Sobald der neue Benutzer die Unterschriften von mehreren (mind. 3) unabhängigen anderen Benutzern erhalten hat, kann er auch selbst neue Benutzer beglaubigen.
  • Mit der Beglaubigung durch 2 erfahrene Benutzer wird der Name in das Profil eingetragen und der Benutzer kann SSL-Zertifikate mit seinem Namen versehen.

Der Nachteil dieses Systems liegt leider momentan noch darin, dass der Betreiber-Verein nicht die finanziellen Mittel hat, die sehr teuren Überprüfungen zu absolvieren, die nötig sind um in den Lieferumfang der bekannten Browser hinein zu kommen.

StartSSL

Die Firma StartCOM bietet mit dem Produkt StartSSL kostenlose SSL-Zertifikate. Zertifikate von StartSSL werden von fast allen aktuellen Browsern direkt akzeptiert.

Einzig Opera benötigt noch die manuelle Installation des Rootzertifikats von Startssl.

Unsere Zertifizierungsstelle

Aufgrund der oben genannten Vorteile nutzen wir Zertifikate von CAcert. Beim ersten Aufruf einer von CAcert beglaubigten Website erhalten Besucher leider eine Warnung, dass das Zertifikat nicht vertrauenswürdig sei. Es ist jedoch sehr einfach, die nötigen Zertifikate im Browser zu installieren, sodass künftig alle von CAcert beglaubigten Websites ohne diese Warnung aufgerufen werden können.

Besuchen Sie dazu bitte die Adresse http://www.cacert.org/index.php?id=3 und installieren Sie bitte das Root Certificate (Class 1). Benutzen Sie bitte im Zweifel die PEM-Variante.