Artikel aus Aktuelles

• [03.04.2019]  Unter dem Deckmäntelchen der Sicherheit: ausschließlich verschlüsselter Zugriff auf Webseiten (https)

  Wer auf sei­nem iPho­ne das ak­tu­el­le iOS 12.2 ein­ge­spielt hat, darf sich vom Web­brow­ser Sa­fa­ri mit dem Hin­weis "Nicht si­cher" ver­un­si­chern las­sen, wenn er auf un­ver­schlüs­sel­te Web­sei­ten zu­greift. Von al­len Sei­ten wer­den Be­trei­ber ge­drängt, ih­re Web­sei­ten per htt­ps statt http be­reit­zu­stel­len, al­so ver­schlüs­selt. Ei­gent­lich ei­ne gu­te Idee. Aber je­de gu­te Idee kann man durch „ge­eig­ne­te“ Um­set­zung in ihr Ge­gen­teil ver­wan­deln.

  Für https braucht man so­ge­nann­te Zer­ti­fi­ka­te auf dem Web­ser­ver, die von Zer­ti­fi­zie­rungs­stel­len (CA) elek­tro­nisch un­ter­schrie­ben sind, de­ren Iden­ti­tä­ten (Stamm­zer­ti­fi­ka­te) wie­der­um im Brow­ser hin­ter­legt sind. Ist das Zer­ti­fi­kat des Web­ser­vers nicht von ei­ner im Brow­ser hin­ter­leg­ten CA un­ter­schrie­ben, baut der Brow­ser kei­ne Ver­bin­dung auf. Man kann dann ent­we­der den Brow­ser an­wei­sen, das Zer­ti­fi­kat trotz­dem zu ak­zep­tie­ren, oder man be­sorgt sich das Stamm­zer­ti­fi­kat der CA, die das Zer­ti­fi­kat un­ter­schrie­ben hat, und im­por­tiert es in den Brow­ser. Das Letz­te­re ist kom­pli­ziert, er­teilt groß­zü­gig Rech­te und ist Nut­zern im Fir­men­um­feld oft nicht ge­stat­tet, das Ers­te­re wird von den Brow­ser­her­stel­lern ab­sicht­lich im­mer schwie­ri­ger ge­macht, und kom­mer­zi­el­le „Si­cher­heits“-Pro­duk­te leh­nen die­se Zer­ti­fi­ka­te in ih­rer Stan­dar­de­in­stel­lung ab. Wa­rum?

  Der, der am meis­ten ver­trau­ens­wür­dig ist, ein Zer­ti­fi­kat zu un­ter­schrei­ben, ist der Be­trei­ber der Web­sei­te. Da­mit ist aber kein Geld zu ver­die­nen. Da­her ist das mit al­ler Macht aus­ge­roll­te Ver­fah­ren fol­gen­des: Nicht der Be­trei­ber un­ter­schreibt sein Zer­ti­fi­kat, son­dern meist kom­mer­zi­ell aus­ge­rich­te­te Zer­ti­fi­zie­rungs­stel­len, die Geld für ih­re Un­ter­schrift neh­men und de­ren Stamm­zer­ti­fi­ka­te in al­len gän­gi­gen Brow­sern vor­in­stal­liert sind. Die­se Zer­ti­fi­zie­rungs­stel­len fal­len ge­le­gent­lich durch Si­cher­heits­män­gel, Kor­rup­ti­on oder Ge­fäl­lig­kei­ten ge­genü­ber „fort­ge­schrit­te­nen De­mo­kra­ti­en“ auf, stel­len al­so „Be­darfs­trä­gern“ heim­lich Zer­ti­fi­ka­te für Web­sei­ten an­de­rer Leu­te aus. Si­cher­heit geht an­ders, aber um Si­cher­heit geht es nur vor­der­grün­dig.

  Es gibt auch Zer­ti­fi­zie­rungs­stel­len, die nicht­kom­mer­zi­ell aus­ge­rich­tet sind. Al­ler­dings fal­len de­ren Un­ter­schrif­ten durch ei­ne lä­cher­lich ge­rin­ge zeit­li­che Gül­tig­keit auf, was an die kos­ten­lo­se Ab­ga­be von Dro­gen zum An­fix­en er­in­nert.

  Sind al­le Web­sei­ten auf https um­ge­stellt, hän­gen die Be­trei­ber an den Zer­ti­fi­zie­rungs­stel­len wie ein Jun­kie an der Na­del. Sind sich die Zer­ti­fi­zie­rungs­stel­len ei­nig (oder wer­den sie „über­zeugt“), dass die In­hal­te man­cher Web­sei­ten „un­pas­send“ sind, kön­nen sie die Zer­ti­fi­ka­te ver­wei­gern oder so teu­er ma­chen, dass man sie sich nicht leis­ten kann. Dann kann die gro­ße Mas­se der In­ter­net-Nut­zer die Sei­ten nicht auf­ru­fen. Aber ei­ne Zen­sur fin­det selbst­ver­ständ­lich nicht statt. Das wä­re Stoff für ei­ne Ver­schwörungs­theo­rie. Man soll­te kei­ne Ver­schwörung an­neh­men, wo „Gut ge­meint ist das Ge­gen­teil von gut ge­macht“ als Er­klä­rung aus­reicht.

  Twitter/X

Zum Archiv mit allen Artikeln