729073

Sichere Browser-Verbindungen

11.01.2007 | 11:06 Uhr |

Wenn Sie online Bestellungen aufgeben, Ihre Kreditkarte verwenden oder Geld überweisen, wollen Sie eine sichere Verbindung. Der Browser zeigt Ihnen jeweils an, wenn eine solche besteht, doch das funktioniert nicht immer reibungslos: Zuweilen meldet das Programm, dass es Probleme mit dem Zertifikat gäbe. Sie wollen wissen, wie schwerwiegend solche Probleme sind und ob Sie trotzdem davon ausgehen können, dass die von Ihnen beabsichtigte Web-Verbindung sicher ist. Wir klären auf.

Anforderung:

Fortgeschrittener

Zeitaufwand:

Mittel

Problem:

Wenn Sie online Bestellungen aufgeben, Ihre Kreditkarte verwenden oder Geld überweisen, wollen Sie eine sichere Verbindung. Der Browser zeigt Ihnen jeweils an, wenn eine solche besteht, doch das funktioniert nicht immer reibungslos: Zuweilen meldet das Programm, dass es Probleme mit dem Zertifikat gäbe. Sie wollen wissen, wie schwerwiegend solche Probleme sind und ob Sie trotzdem davon ausgehen können, dass die von Ihnen beabsichtigte Web-Verbindung sicher ist.

Lösung:

Fehlermeldungen von Zertifikaten bei sicheren Verbindungen treten im wesentlichen aus drei Gründen auf: Der Name der Website stimmt nicht mit dem des Zertifikats überein, das Zertifikat ist abgelaufen oder es fehlt ein passendes Stammzertifikat – sprich: das Zertifikat ist nicht von einer Stammzertifizierungsstelle beglaubigt worden, die Ihr Browser kennt.

Sowohl Firefox als auch der Internet Explorer zeigen bei einer Unstimmigkeit eine entsprechende Fehlermeldung und weigern sich zunächst, die angesteuerte Web-Seite zu öffnen. Erst wenn Sie auf „OK“ oder „Ja“ klicken, geht es weiter. Um zu entscheiden, ob Sie die jeweilige Website trotzdem besuchen sollten, lesen Sie die Fehlermeldung genau durch. In beiden Browsern können Sie sich auch das Zertifikat zeigen lassen („Zertifikat überprüfen“ beziehungsweise „Zertifikat anzeigen“).

Der Name stimmt nicht: Firefox sagt in der Fehlermeldung gleich, worin sich der Name der Website und des Zertifikatsinhabers unterscheiden. Wenn Sie sich das Zertifikat anzeigen lassen, sehen Sie im IE hinter dem ersten Eintrag in der Liste die Angabe „Ausgestellt“, in Firefox „Herausgegeben für, Allgemeiner Name (CN)“.

Anhand der Unterschiede sollten Sie leicht sehen können, ob es sich hier um eine grobe Fälschung oder um eine versehentliche Abweichung handelt. Beispiel: Weist die Website „www.exampie.com“ ein Zertifikat für „www.example.com“ vor, haben Sie eine Fälschung vor sich, die auf den ersten Blick zusätzlich dadurch täuschen kann, dass das „i“ der ersten URL groß geschrieben wird. So beruft sich etwa eine Phishing-Site auf das Zertifikat Ihrer Bank.

Meldet sich dagegen die Site namens „www1.example.com“ mit einem Zertifikat „www.example.com“, handelt es sich wahrscheinlich um ein Versehen: Die Site ist auf einen anderen Server umgezogen, und man hat vergessen, das Zertifikat anzupassen. Um zu erfahren, ob die Domainnamen der tatsächlichen und der durch das Zertifikat angezeigten Website der gleichen Person oder Firma gehören, geben Sie beide direkt hinter „http://whois.de/“ in die Adresszeile zweier neuer Browser-Fenster ein. Dabei lassen Sie den Teil vor dem ersten Punkt weg, also etwa „http://whois.de/example.com“. Nur wenn die fraglichen Domains denselben Besitzer haben, sollten Sie die sichere Verbindung aufbauen.

Das Zertifikat ist abgelaufen: Das spricht nicht dafür, dass die IT-Abteilung der betreibenden Firma besonders viel Sorgfalt walten lässt. Mit persönlichen Daten oder gar Kreditkarteninformationen sollten Sie hier geizig sein. Handelt es sich hingegen um eine weniger sensible Website, etwa ein Forum, können Sie den Fehler ignorieren.

Die Stammzertifizierung fehlt: Die im Internet Explorer erscheinende Fehlermeldung „Das Sicherheitszertifikat wurde von einer Firma ausgestellt, die Sie als nicht vertrauenswürdig ausgestellt haben“ ist insofern irreführend, als Sie nie Websites als vertrauenswürdig (oder nicht vertrauenswürdig) „ausstellen“ müssen. Firefox bringt es genauer auf den Punkt: „Ihr Browser erkennt die Zertifizierungsstelle nicht, die dieses Zertifikat herausgegeben hat“. Da Sie kaum selbst prüfen können, ob der Herausgeber eines Zertifikats vertrauenswürdig ist, gibt es von diversen Anbietern Stammzertifikate, die mit dem Browser installiert werden. Wenn ein Betreiber eine SSL-Site anbietet, kann er sein Zertifikat von einem dieser Anbieter beglaubigen lassen: Ihr Browser vertraut der Zertifizierungsstelle, diese vertraut der Website und hinterlegt das im Zertifikat. Das ist für den Website-Betreiber nicht billig. Daher ist es bei einer kleinen Hobby-Site, etwa einem Forum, unbedenklich, wenn das Zertifikat nicht beglaubigt ist – hier können Sie also trotz der Fehlermeldung die Seite besuchen.

Achtung: Eine Bank, Firma oder irgendeine andere Institution, an die Sie sensible Daten übermitteln wollen, muss unbedingt ein beglaubigtes Zertifikat vorweisen. Sonst könnte es sich nämlich um die Fälschung eines Angreifers handeln, der sich in die Verbindung eingeschaltet hat. Er kann sich zu diesem Zweck sehr einfach selbst ein Zertifikat auf einen beliebigen Namen ausstellen, etwa der Firma, deren Identität er vortäuscht. Eine Bestätigung der Echtheit wird er aber nicht vorweisen können.

0 Kommentare zu diesem Artikel
729073