Seit Anfang Mai warnt der Browser Google Chrome in der Version 66 vor Webseiten, die eigentlich korrekt verschlüsselt sind. Der Grund hierfür ist ein Streit zwischen Google und einem der Dienste, die Zertifikate für verschlüsselte Webseiten ausstellten. Es handelt sich dabei um die Firma Symantec , die neben Antivirentools auch SSL-/TLS-Zertifikate für Webseiten vergab. Zu Symantec gehörten ebenfalls die Zertifizierungsstellen Verisign, Equifax, Geo Trust und Rapid SSL. Wie es zu dem Streit gekommen ist, vor welchen Websites Chrome heute und künftig warnt und warum das System von Zertifikaten so empfindlich ist, erklären wir in diesem Beitrag.
Google deckt Fehler bei Symantec-Zertifikaten auf
Google hat ein sehr starkes Interesse daran, dass das World Wide Web reibungslos, schnell und sicher funktioniert. Denn Google verdient mit Werbung im Internet Geld, und das geht umso besser, je zufriedener der Internetnutzer ist und je mehr er dem Internet und den Internet-Shops vertraut. Darum hat Google seinen eigenen Internet-Browser Chrome herausgebracht und darum arbeiten die Google-Ingenieure hart daran, das WWW sicherer zum machen. Was das Thema sicheres Internet angeht, so verfolgt Google unter anderem das Ziel, dass möglichst alle Websites verschlüsselt sind und alle verschlüsselten Webseiten zuverlässig den Firmen gehören, für die sie stehen. An dieser Stelle kommen die Zertifikate für Webseiten ins Spiel sowie die Unternehmen, die diese Zertifikate ausstellen, die sogenannten Zertifizierungsstellen. Letztere verkaufen an Webseitenbetreiber SSL-/TLS-Zertifikate, die belegen, dass die Website einer bestimmten Person oder Firma gehört. Sie enthalten auch den Schlüssel, mit dem sich die Verbindung zur Webseite verschlüsseln lässt. Zertifizierung und Verschlüsselung geschehen hier in einem. Die Zertifizierungsstelle muss also prüfen, ob ein Antragsteller auch wirklich der legitime Besitzer einer Website ist. Diese Überprüfung soll bei den Zertifizierungsstellen von Symantec wiederholt nicht gut genug gewesen sein. Symantecs wohl schlimmster Fehler war, dass sie ein Zertifikat für die Webseite Google.com an einen Nicht-Google-Mitarbeiter ausgestellt haben. Dadurch konnte diese Person im Internet vortäuschen, Google zu sein. Nachdem der Fehler aufgeflogen war, entdeckte Google eigenen Angaben zufolge rund 30.000 Zertifikate von Symantec, die nicht den geltenden Standards der Zertifizierungsbranche entsprachen. Aus dem daraus resultierenden Streit zwischen Google und Symantec zogen die Verantwortlichen bei Symantec letztes Jahr die Konsequenzen und verkauften ihre Zertifizierungssparte im Dezember 2017 für rund 950 Millionen US-Dollar an Digicert . Übrigens: SSL und TLS sind beide Verschlüsselungsprotokolle. SSL steht für Secure Socket Layers und TLS für Transport Layer Security. TLS ist der Nachfolger von SSL, das heutzutage als unsicher gilt. Aktuell ist die Version TLS 1.3. Viele Anwender und Anbieter sprechen allerdings immer noch von SSL-Verbindungen und -Zertifikaten, weil sich der Begriff für verschlüsselte Webseiten eingebürgert hat.
Siehe auch: SSL-Zertifikate kostenlos für Websites erstellen
Google Chrome warnt vor vielen verschlüsselten Websites
Seit dem ersten Dezember gibt es also keine neuen SSL-/TLS-Zertifikate von Symantec mehr. Es existieren jedoch natürlich noch viele Firmen, die in den Monaten und Jahren zuvor Zertifikate von Symantec für ihre Webseiten gekauft haben. Vor diesen Websites warnt Chrome seine Benutzer nun (siehe dazu Abbildung oben) und weist darauf hin, dass Angreifer gegebenenfalls Passwörter mitschneiden können. Betroffen davon sind jedoch nicht nur die 30.000 Zertifikate, bei denen Unregelmäßigkeiten festgestellt wurden, sondern alle Symantec-Zertifikate. Ab wann die Warnung angezeigt wird, hängt jeweils davon ab, wann das Zertifikat ausgestellt wurde. Google selbst macht hierzu knappe Angaben auf dieser Webseite . Der Domain Registrar Epag hat den Sachverhalt auf seiner Website etwas übersichtlicher erklärt. Ab Oktober 2018 soll Chrome in seiner Version 70 vor sämtlichen Symantec-Zertifikaten warnen.
Wie viele Webseiten davon dann noch betroffen sind, lässt sich nicht sagen, denn die Betreiber der Websites wurden bereits per Mail dazu aufgefordert, sich ein neues Zertifikat ausstellen zu lassen. Der Vorgang ist für die Betreiber kostenlos. Für den Anwender stellt die Warnung allerdings ein Problem dar. Der Grund: Er kann nur schwer entscheiden, ob Chrome vor der Webseite warnt, weil das Zertifikat unter den generellen Misstrauensvorwurf fällt oder ob andere Probleme vorliegen. Zumindest können Sie sich ansehen, ob eine bemängelte Webseite ein Zertifikat von Symantec, Verisign, Equifax, Geo Trust und Rapid SSL enthält und dieses vor dem ersten Dezember 2017 ausgestellt worden ist. Dann könnte die Warnung allein aufgrund des generellen Misstrauens erscheinen. Sicher ist das aber nicht. Sie sehen die erforderlichen Details, wenn Sie in Chrome auf die Fläche vor der Webadresse klicken und daraufhin „Zertifikat –› ungültig –› Details –› Aussteller“ wählen.
Warnungen erscheinen auch bei unverschlüsselten Websites
Google Chrome will ab Version 68 auch vor unverschlüsselten Webseiten warnen. Aller Voraussicht nach wird die Warnung aber nur aus den Worten „Nicht sicher“ vor der Webadresse im Browser bestehen. So warnt Chrome bereits einige Zeit vor Webseiten ohne Verschlüsselung, aber mit Log-in-Feldern. Diese Warnung soll den Druck auf Webseitenbetreiber erhöhen, ihre Sites verschlüsselt anzubieten. Seit etwa einem Jahr sollen unverschlüsselte Webseiten außerdem schlechter bei der Suchmaschine von Google gelistet werden. Auch dies übt auf die Webseitenbetreiber Druck aus, zumindest wenn sie auf eine gute Platzierung in den Google-Suchergebnissen Wert legen. Grundsätzlich bieten verschlüsselte Verbindungen zu Webseiten einige Vorteile für den Benutzer. So ist beispielsweise die Gefahr, dass Hacker gefährlichen Code in die Webseite einbauen, geringer als bei unverschlüsselten Sites. Es gibt allerdings auch Nachteile. Antivirensoftware kann den Datenstrom nicht auf Schadcode überprüfen. Das geht erst, wenn der Code vom Browser auf die Festplatte gespeichert wird. Bei den sogenannten dateilosen Viren findet eine solche Speicherung jedoch gar nicht mehr statt. Dieser Code wird direkt vom Browser aktiviert. Eine Antivirensoftware hat es aufgrund dessen schwer, dateilose Viren aus einer verschlüsselten Internetverbindung zu blockieren. Trotz dieser sowie weiterer Nachteile von verschlüsselten Verbindungen hält Google an seiner Strategie fest.
Weitere Fehlermeldungen bei SSL-/TLS-Verbindungen
Ihr Browser kontrolliert bei der Überprüfung eines Zertifikats, ob er ein dazu passendes Root-Zertifikat gespeichert hat. Zusätzlich zu den zwei schon genannten Warnungen kann aber auch sonst noch einiges schiefgehen. In der Folge kommt es zu einem Zertifikatsfehler und der Browser gibt eine Warnung aus. Die PWS-Group , selbst Anbieter von Zertifikaten für Webseiten, hat eine Liste mit mögli-chen Fehlermeldungen zusammengestellt.
Serverzertifikat ist abgelaufen: Ein SSL-Serverzertifikat hat stets eine bestimmte Laufzeit. In der Regel handelt es sich dabei um einen Zeitraum von ein bis zwei Jahren. Die Zeit beginnt normalerweise, wenn sich ein Webseitenbetreiber das Zertifikat von einer Zertifizierungsstelle geben lässt. Steuern Sie als Besucher eine Website an, deren Zertifikat älter als zwei Jahre ist, bekommen Sie die genannte Fehlermeldung. Insbesondere bei den Webseiten von kleineren Firmen kommt der Fehler schon mal vor, auch ohne dass die Verbindung deswegen unsicher sein muss. Der Administrator hat es in diesem Fall ganz einfach versäumt, rechtzeitig ein neues Zertifikat zu besorgen und einzubauen. Auf der sicheren Seite sind Sie aber trotzdem, wenn Sie eine entsprechend bemängelte Website wieder verlassen. Serverzertifikat wurde von einer unbekannten CA ausgegeben: Eine Zertifizierungsstelle (CA) muss anerkannt sein, um als vertrauenswürdig zu gelten. Nur wenn diese selbst einen Prozess durchlaufen und Vertrauenswürdigkeit bewiesen hat, wird sie in die Listen vertrauenswürdiger Zertifizierungsstellen der gängigen Internet-Browser aufgenommen. Wenn Ihr Browser die CA bemängelt, ist diese entweder tatsächlich nicht vertrauenswürdig oder ihr Root-Zertifikat fehlt aus anderen Gründen im Speicher Ihres Browsers. Sie sollten an dieser Stelle vorsichtig sein und die besuchte Seite wieder verlassen. Im Grunde ist das ein ähnliches Problem wie bei Google und Symantec, nur dass Chrome lediglich eine Standardwarnung vor der Verbindung ausgibt. Das Zertifikat für diesen Server ist ungültig: Dieser Fehler kann auftreten, wenn das Zertifikat fehlerhaft übertragen wurde. Es kann sich aber auch um ein gefälschtes oder manipuliertes Zertifikat handeln. Es ist empfehlenswert, eine Webseite mit diesem Fehler auf jeden Fall zu verlassen.
So wird eine sichere Verbindung hergestellt
Damit zwischen Ihrem PC und einem Server im Internet eine sichere Verbindung entstehen kann, sind zwei Dinge notwendig: Sie müssen sicherstellen, dass Sie wirklich mit dem gewünschten Server verbunden sind. Das geht per Zertifizierung. Und Sie müssen diese Leitung verschlüsseln, ohne dass ein Unbefugter den Schlüssel dafür in die Finger bekommt.
Zertifizierung: Ein Zertifikat beweist, dass Sie genau mit dem Server verbunden sind, den Sie kontaktiert haben. Das System dahinter ist ausgeklügelt und das muss es auch sein. Denn schließlich können Sie ja nicht selber zu dem Server hingehen, um die Identität zu überprüfen. Auch ein Test der IP-Adresse hilft Ihnen nicht weiter, da sich diese leicht fälschen lässt.
Verschlüsselung: Die Verschlüsselung ist ein mathematischer Vorgang zur Kodierung und Dekodierung der gesendeten Informationen. An der Bitanzahl, etwa 40, 56 oder 128 Bit, können Sie die Größe des Schlüssels ablesen. Eine 128-Bit-Verschlüsselung ist eine Billion Mal so stark wie eine 40-Bit-Verschlüsselung. Ältere Verschlüsselungsverfahren lassen sich mit neuer Technik immer wieder knacken. Aus diesem Grund wird das Verschlüsselungsverfahren von Zeit zu Zeit aktualisiert und ältere Techniken werden aussortiert.
So funktioniert die Absicherung von Websites mit Zertifikaten
Der Aufbau einer verschlüsselten Verbindung zu einem Server im Internet erfolgt (etwas verkürzt) in drei Schritten:
1. Ihr Browser nimmt Verbindung zu einem Server auf und verlangt dessen Personalausweis, also sein digitales Zertifikat. Das Zertifikat bestätigt die Echtheit des Servers und enthält seinen öffentlichen Schlüssel. Mithilfe dieses Schlüssels wird im Anschluss daran die verschlüsselte Verbindung zum Server aufgebaut. Der zugehörige private Schlüssel liegt auf dem Server und ist streng geheim.
2. Der Browser muss prüfen, ob das digitale Zertifikat auch gültig ist. Dafür dient eine dritte, unabhängige Partei, die Zertifizierungsstelle. Bekannte Stellen sind Verisign, Thawte und PSW Group. Die Zertifizierungsstelle hatte zuvor das digitale Zertifikat des Servers ausgestellt und unterschrieben. Darum kann sie mit einem sogenannten Root-Zertifikat die Gültigkeit des Serverzertifikats bestätigen. Die erforderlichen Root-Zertifikate von mehreren Zertifizierungsstellen befinden sich bereits im Zertifikatsspeicher von Windows auf Ihrem PC oder im Browser. Die Kontrolle eines Zertifikats durch ein anderes Zertifikat wird Public-Key-Infrastruktur (PKI) genannt, da in jedem Zertifikat ein öffentlicher Schlüssel steckt. Weitere Infos zur PKI finden Sie hier .
3. Nachdem sich der Browser anhand des Root-Zertifikats davon überzeugt hat, dass er mit dem richtigen Server verbunden ist, baut er eine verschlüsselte Verbindung auf. Dafür generiert er einen geheimen Verbindungsschlüssel. Da auch die Gegenstelle diesen geheimen Verbindungsschlüssel kennen muss, verschlüsselt der PC ihn mit dem öffentlichen Schlüssel aus dem Serverzertifikat und sendet das Paket an den Server. Dieser kann das Paket mit seinem privaten Schlüssel auspacken. Nun haben beide Gegenstellen den geheimen Verbindungsschlüssel und der Austausch von Daten kann beginnen.
Autor: Arne Arnold
Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.