SSL nur noch auf WunschSSL nur noch auf Wunsch



Kategorie: <<< Technik >>>
200812So.Okt
D ie verschlüsselte Übertragung der Anmeldedaten bei KinderRatTat wurde den Tagesmüttern und Kinderbetreuern bei KinderRatTat bisher in bester Absicht aufgezwungen. Das wäre in Ordnung gewesen, wenn das Sicherheitszertifikat keine Fehlermeldungen produziert hätte.

Diese Fehlermeldungen haben das Vertrauen vieler potientieller Kunden in KinderRatTat geschwächt oder zerstört.

Hier ein paar einfache Erklärungen, was die Verschlüsselung und das Sicherheitszertifikat eigentlich bedeuten. Wozu eigentlich Verschlüsselung?


Verschlüsselung
Die Verschlüsselung der Übertragung macht aus in Klarschrift lesbaren Daten einen für Nicht-Verschlüsselungsteilnehmer unlesbaren Datensalat. Dadurch wird die sogenannte "Man-in-the-middle" - Attacke erschwert. Nur wer den aktuellen, individuellen Schlüssel für die Übertragungsstrecke besitzt, kann den Datenstrom in sinnvolle Daten verwandeln. Und laut Zufallslogik sind das zu jedem beliebigen Zeitpunkt genau ZWEI Teilnehmer: Die Webseite und der Webseitenbesucher.

Das Abhören eines Datenstroms durch "den Mann dazwischen" ist ein wenig aus der Mode gekommen, seit es so einfach geworden ist, die Workstation direkt zu hijacken. Durch Trojaner, die sich direkt auf der Workstation des Opfers befinden, werden die übertragenen Passwörter und Daten direkt ausgelesen. Ob eine verschlüsselte Verbindung benutzt wird oder nicht - es ist egal.


Das Zertifikat
D er Aufbau einer verschlüsselten Übetragungsstrecke ist mit jedem Browser möglich. Die Browser beherrschen unterschiedliche Verschlüsselungsalgorithmen in unterschiedlichen Stärken.

Jeder Browser hat also mehrere Werkzeuge im Werzeugkasten. Beim Verbindungsaufbau unterhalten sich die per SSL gesicherte Webseite und der Browser und sie handeln aus, welches der Werkzeuge benutzt wird. Sie legen auch einen zufällig generierten Schlüssel fest, der nur für diese eine Verbindung gilt.

Das Zertifikat wird für diesen Prozess "eigentlich" nicht gebraucht. Im Wesentlichen legt das Zertifikat fest, welche Werkzeuge zum Verbindungsaufbau genutzt werden dürfen und es beinhaltet eine Zusicherung, dass die angesprochene Webseite tatsächlich die gewünschte ist.

Die Zertifikate werden zum Einen auf der Webseite UND zum Anderen im Browser hinterlegt.

E s existiert eine gutgehende Industrie dadurch, dass Webseitenbetreuern Sicherheitszertifikate für ihre verschlüsselte "Secure Sockets Layer" (SSL) Verbindung zu den Browsern verkauft werden. Das Sicherheitszertifikat ist im Prinzip eine Versicherung des Ausstellers, dass die angesprochene Webseite tatsächlich die Gewünschte ist.

Sobald mit dem Zertifikat eine andere Webseite angesprochen wird, gibt es eine Warnmeldung - Phishingverdacht!

D ie Aussteller der Sicherheitszertifikate zahlen Millionensummen an die Browserhersteller, damit ihre Zertifikate automatisch als "vertrauenswürdig" eingestuft werden. Im Klartext heißt das: Das Zertifikat ist bereits im Browser hinterlegt, wenn der Anwender den Browser zum ersten Mal startet.

T atsächlich kann und darf jeder ein Sicherheitszertifikat ausstellen. Es müssen bestimmte Dinge beachtet werden, die technische Hürde ist hoch gesteckt, aber es geht. So hat ein Freund von KinderRatTat ein Sicherheitszertifikat ausgestellt, in welchem auch die Webseite "KinderRatTat" korrekt angegeben ist.

Was machte der Aussteller des KinderRatTat-Zertifikates falsch?

Die Antwort ist einfach: Er zahlt nichts für die Vorhaltung des Zertifikates im Browser an die Browserhersteller. Deshalb kommt ein Hinweis auf ein zwar gültiges, aber nicht vertrauenswürdiges Sicherheitszertifikat.

Denn: Da könnte ja jeder kommen!

Die Browserhersteller schützen ihre zahlenden Kunden vor "wilden" Zertifikaten, indem sie das Vertrauen der Kunden in diese Zertifikate durch Fehlermeldungen zerstören.

So kann man die verschlüsselte Übertragung bei KinderRatTat aktivieren:

KinderRatTat hat die SSL-Verbindung nicht vollständig abgeschaltet. Das "nicht sichere" Zertifikat ist immer noch aktiv. Um mit KinderRatTat verschlüsselt zu arbeiten, muss lediglich in der Adresszeile des Browsers ein kleines "S" zwischen "http" und "://www" gesetzt werden, so dass die Adresszeile sich "https://www.kinderrattat.de/..." liest. Danach muss diese Seite erneut aufgerufen werden.

Dann erscheint die oben angekündigte Fehlermeldung, wenn das Zertifikat noch nicht als vertrauenswürdig angenommen wurde. Jetzt sollte dem Browser klargemacht werden, dass dieses Zertifikat "vertrauenswürdig" ist. Beispiele, wie es für den Internet-Explorer von Microsoft oder den Firefox gehen könnte:

SSL-Zertifikat Instalieren für Firefox
SSL-Zertifikat Instalieren für Internet Explorer von Microsoft

Durch Browserupdates sind diese Anleitungen nicht mehr hundertprozentig aktuell, aber man findet sich zurecht. Alle Kinderbetreuer/Innen und Tagesmütter bei KinderRatTat mit technischen Problemen mit der Webseite melden sich bitte per Email - wir machen einen Telefontermin aus. KinderRatTat ruft Sie an.




Links:

HTTPS (Hypertext Transfer Protocol Secure)
Transport Layer Security (SSL)
Extended-Validation-SSL-Zertifikate

Peter Klauer

200816Do.Okt
Letzte Änderungen

Kommentare: 0 Einen Kommentar hinzufügen
Dieser Beitrag wurde
					insert into counter_history
					(ch_id_counter, ch_ip )
					values( 1078, '54.80.132.10')
					
Field 'ch_sessionid' doesn't have a default value