Dieser Artikel soll erklären, welche Probleme es mit dem aktuellen SSL-System gibt und warum wir es trotzdem auf unserem Marktplatz nutzen.*

Von Firmen und Unternehmen hört man doch im Allgemeinen recht wenig (um nicht zu sagen nichts) über das Thema SSL. Eigentlich ist das ja auch ganz logisch, denn diese müssen dem steigenden Kundenbedürfnis nach Datenschutz gerecht werden – und wenn dies nicht möglich ist, reden sie lieber nicht darüber, sondern geben sich damit zufrieden, wenn es zumindest sicher aussieht und sie sagen können: mit SSL ist besser als ohne. Was ja auch stimmt.

Wie funktioniert SSL eigentlich?

Wenn Ihr eine Seite besucht, bei der https:// vorne angestellt ist, verlangt der Browser ein Zertifikat, welches die Identität der Webseite eindeutig belegt. Ist die Prüfung des Zertifikats erfolgreich, werden Daten zwischen der Seite und dem Nutzer verschlüsselt über das Internet übertragen. Bei der billigeren Version des SSL-Zertifikats findet keine Identitätsüberprüfung statt, aber die Daten werden dennoch zwischen Benutzer und Website verschlüsselt übertragen.

Wie man überprüfen soll, ob sich hinter dem Zertifikat wirklich das verbirgt, was es vorgibt, ist eine entscheidende Frage. In der Realtität wird dies so gelöst, dass es bestimmte Zertifizierungsstellen (CAs) gibt, die diese Zertifikate ausstellen. Diese CAs lassen sich, bevor sie jemandem ein Zertifikat austellen, die Identität der Webseite bzw. des Seiteninhabers bestätigen und bürgen fortan für die Echtheit des Zertifikats. Doch welcher Zertifizierungsstelle sollte man eigentlich vertrauen? Genau das ist der Schwachpunkt des ganzen Verfahrens: das ganze System ist unglaublich intransparent.

Die Entwickler der Browser fügen Listen von Zertifizierungsstellen ein, denen der Browser standardmäßig vertraut. Die genaue Liste kann vom Browser oder auch von der Browserversion abhängig sein, es gibt aber bestimmte Zertifizierungsstellen, die nahezu überall akzeptiert werden.

 

SSL_Dilemma

Eine Liste der meistgenutzten SSL-Zertifizierungsstellen (Stand: 29.11.2013)

Die Top5 dieser Liste sollten von allen gängigen Browsern akzeptiert werden. Hinter der Symantec Group verbergen sich unter anderem Unternehmen wie GeoTrust, Thawte, VeriSign und TrustCenter. Welche Rootzertifikate in Eurem Browser integriert sind, könnt Ihr (z.B. bei Firefox) unter Preferences → Advanced → View Certificates nachschauen.

Was sind das für Unternehmen und warum vertrauen ihnen die Browser standardmäßig? Mozilla beschreibt seine Kriterien hierfür auf dieser Seite. Die Kriterien der anderen Browser können abweichen und sind diesen selbst überlassen.

Das Problem an der Sache ist, dass wir, unter anderem dank Edward Snowden, nun wissen, dass auch Unternehmen, die ihren Kunden verantwortungsvollen Umgang mit ihren Daten versprechen, machtlos sind, wenn die NSA oder ein sonstiger Geheimdienst an die Tür klopft. Das heißt, es ist eigentlich unmöglich geworden, dieses Grundvertrauen weiterhin in die Zertifizierungsstellen zu setzen, da diese im Zweifelsfall mit den Geheimdiensten zusammen arbeiten (müssen). Und wenn sie das tun, bleibt das natürlich geheim, weil die CAs entweder nichts sagen dürfen, oder es eventuell noch nicht mal mitkriegen. Das bedeutet, die Geheimdienste können teilweise mit Hilfe der CAs den eigentlich verschlüsselten und vom Browser als sicher eingestuften Datenverkehr mitlesen.

Davon abgesehen gab es immer wieder Skandale von Zertifizierungsstellen (vgl. http://www.taz.de/!123251/, und http://www.zeit.de/digital/datenschutz/2013-09/faq-nsa-verschluesselung), denen die marktführenden Browser standardmäßig vertraut haben. Zum Beispiel was eine zu nachlässige Identitätsüberprüfung bei der Ausstellung der Zertifikate angeht, kritische Schwachstellen in den Verschlüsselungsalgorithmen (z.B. beim MD5-Algorithmus) und weitere Sicherheitslücken. Noch dazu grenzt das ganze Geschäft dahinter an Abzocke, da die Zertifizierungsstellen die Zertifikate teilweise maßlos überteuert anbieten.

 

Die großen Zertifizierungsstellen haben vor allem diese Nutzungsraten, weil die Browser deren Rootzertifikate integriert haben. Holt man sich ein SSL-Zertifikat von einem Anbieter, der nicht in dieser Liste ist, erscheint eine große Warnung im Browser, sobald der Internetnutzer eine damit signierte Seite über https:// aufrufen will. Das bedeutet nicht per se ein Sicherheitsrisiko, sondern soll dem Nutzer lediglich mitteilen: „Ich kenne diese CA nicht, und kann nicht einschätzen ob sie vertrauenswürdig ist, entscheide bitte Du!“ Der User kann also auch selbst entscheiden, ob er bestimmten CAs vertraut oder mistraut. Die Wichtigkeit, schon per default in dieser Liste des Browsers zu sein, ergibt sich daraus, dass ein Großteil der Nutzer nicht sensibilisiert ist und auch wenige Möglichkeiten hat, die Identität der Webseite selbst hinreichend zu überprüfen. Man ist also in gewisser Weise abhängig davon, dass der Browser eine intelligente Vorauswahl trifft.

Eine Liste von deutschen Zertifizierungsstellen findet Ihr auf der Seite der Bundesnetzagentur. Wie vertrauenswürdig Ihr diese Stellen einschätzt, muss jede*r selbst entscheiden. Die meisten deutschen CAs haben keine standardmäßig in die Browser integrierten Rootzertifikate. DATEV z.B. nutzt selbst für seinen Internetauftritt ein Zertifikat von VerSign. Das einzige was man da vielleicht positiv sagen kann ist, dass sie schonmal nicht in den USA sitzen 😉

Was haben wir nun gelernt?

Das Prinzip hinter der Vergabe der SSL-Zertifikate ist den wenigsten Nutzern im Detail bekannt und bietet weit weniger Kommunikationssicherheit, als im Allgemeinen suggeriert wird. Gibt es im Moment eine praktikable Alternative? Leider nein. Warum nutzen wir es trotz der ganzen Unzulänglichkeiten? Weil man durch SSL den Missbrauch Eurer Daten vorbeugen kann. So kann immerhin nicht Euer Nachbar einfach so mitlesen. Wobei das ja eventuell auch ein schönes Crowdfundingprojekt wäre, so eine demokratisch strukturierte, durch die Nutzer kontrollierbare unabhängige CA im Gewand einer Geno 2.0… Naja, mehr Sicherheit gibt es im Moment in dieser Hinsicht nicht und auch andere Online-Marktplätze, Banken, und Regierungsseiten können Euch an dieser Stelle nicht mehr Sicherheit gewährleisten. Sie sagen das nur nicht so deutlich.

*Falls Ihr Tipps und Ideen habt, wie Fairnopoly mit dem Thema umgehen soll, oder wenn Ihr Fehler in diesem Artikel entdeckt, dann fühlt Euch frei hier einen Kommentar zu verfassen, einen Thread im Forum zu eröffnen, oder uns per Mail zu kontaktieren.