Die Stiftung Warentest bietet einen Onlinedienst zum prüfen der SSL Sicherheit einer Webseite an.

http://www.test.de/themen/computer-telefon/ssl_check

In einem guten Browser wird dies allerdings auch übersichtlich angezeigt, wofür das Ganze also?

Das wird vielleicht klar, wenn wir mal ein Beispiel betrachten. Die Webseite https://www.sofortueberweisung.de/ ist auch SSL geschützt. Schauen wir uns an, was der Test dort ausspuckt:

Vom Server unterstützte SSL-Version: 3
Bevorzugte Verschlüsselung: Triple-DES (168/112 Bit)

Wenn ich allerdings mit meinem Browser die Webseite betrete erhalte ich eine andere Information

Woher kommt das?

Dafür muss man sich das SSL (Secure Sockets Layer) bzw. TLS (Transport Layer Security) Protokoll etwas genauer anschauen. Bei der Kontaktaufnahme teilt der Client dem Server mit, welche sym. / asm. Verschlüsselungskombinationen er “versteht”. Diese werden auch Ciphersuites genannt. Mein Browser teilt also dem Server der Webseite mit, das er AES 256 bevorzugt was auch durchaus in meinem Interesse ist.

Aber angenommen ich wäre einem Man-in-the-middle Angriff ausgesetzt, d.h. jemand kann meinen Traffic komplett auslesen und verändern, dann hätte er bei SSL nur dann eine Chance, wenn die Verschüsselung unsicher ist. Wenn also der Bösewicht in der Mitte dafür sorgt das eine schwache Verschlüsselung (CipherSuite) ausgesucht wird, wäre er in einer eindeutig besseren Lage als vorher.

Aus diesem Grund wählt der SSL Check eine möglichst schlechte Verschlüsselung aus um herauszufinden wo der Server noch mitspielt und wann nicht mehr. Würde er also DES (effektiv 56 Bit) und gleichzeitig AES (128 – 256) unterstützen, wäre der SSL Schutz vielleicht nicht mehr so sicher, wie er auf den ersten Blick erscheint.

Daher ist dieser Check, obwohl er vielleicht auf den ersten Blick nicht so wichtig erscheint, eine gute Sache.

Tim IT-Sicherheit

Im letzten Artikel hatten wir uns damit beschäftigt wie diese Signaturen technisch umgesetzt werden. Sehen wir selbige nun auch einfach als korrekt an.

Mit Hilfe des öffentlichen Schlüssels des Absenders (im Idealfall -allen- bekannt) lässt sich also eine Signatur auf Gültigkeit prüfen. Wir sehen also, das der Text bei der Übersendung nicht geändert wurde. Sofern wir also den öffentlichen Schlüssel einer natürlichen Person zweifelsfrei zuordnen können, wissen wir, das diese Nachricht authentisch ist.

Um dies zu erreichen gibt es eine Public – Key - Infrastruktur, kurz PKI. Wie sieht das aus: eine vertrauenswürdige Stelle (Bank, Bundesdruckerei, etc.) bestätigt, das dieser öffentliche Schlüssel der Person XYZ gehört. Dies wurde mittels Ausweis (Post-Ident Verfahren) geprüft. Diese Einrichtungen nennt man CA (certification authority).

In der Regel läuft es so ab:

Ein recht Anspruchsvolles Wurzelzertifikat sichert das Zertifikat der CA ab, welches wiederum das Zeritifkat der “Person” bestätigt.

So sichert Verisign das CA Zertifikat der Deutschen Bank ab welches wiederrum ihren Mitarbeiter Zertifikate ausstellt.

Und wo ist da nun die große Sicherheit?

Das online banking ist SSL geschützt und beruht auf einem Zertifikat. Dieses Zertifikat besagt, das diese Webseite (auf der man sich befindet) “Eigentum” der (z.B.) Deutschen Bank und entsprechend stark gesichert ist. Im Browser wird dies meist durch ein grünes Zeichen (aufleuchten) oder ein Schloss signalisiert. Wenn dies also gegeben ist, kann ich sicher sein, mich auf der korrekten Seite zu befinden, sofern ich die korrekte Internetadresse eingegeben habe. Analog bei E-Mails.

Ich hoffe den Sinn und Zweck von Digitalen Signaturen / Zertifikaten vermittelt zu haben.

Tim IT-Sicherheit