Vertraut uns allen!
Nicht nur im Browser: Wo sich überall Stammzertifikate verstecken
Der Inhalt von „Trust Stores“ entscheidet, welchen Zertifikaten eine Software vertraut. Leider gibt es eine Menge dieser Stores, die je nach System und Software unterschiedlich genutzt werden. Wir zeigen exemplarisch, welche Steine Sie umdrehen müssen.
Bevor ein Browser oder eine andere Software mit einem Server per TLS kommuniziert, prüft das Programm – oder vielmehr eine darin eingebaute Bibliothek – das von der Gegenstelle vorgelegte Zertifikat. Denn damit wird die Verbindung verschlüsselt und Ihre Privatsphäre vor Lauschangriffen geschützt. Für dieses Zertifikat bürgt ein übergeordnetes Zertifikat, für das möglicherweise ein weiteres Zertifikat bürgt, und so weiter. Kryptografisch sind auch lange Zertifikatsketten sicher, doch jede Kette hat ein Ende; dem letzten Zertifikat muss die Software schlicht vertrauen. Sie braucht also eine Liste mit vertrauenswürdigen (Wurzel-)Zertifikaten, einen sogenannten „Trust Store“. Der müsste wohl unfreiwillig erweitert werden, wenn die EU mit der eIDAS-Novelle Ernst macht und die Akzeptanz ihrer „qualifizierten Webseitenzertifikate“ (QWAC) erzwingt. Zeit sich anzusehen, wie man unerwünschte Zertifikate von den eigenen Geräten bannt.
Wenn Sie jetzt davon ausgehen, dass eine so fundamentale Liste, die Browser, Mailprogramme, Chatsoftware und viele andere Anwendungen gleichermaßen dringend benötigen, nur einmal an zentraler Stelle im Betriebssystem eingebaut ist, müssen wir Sie leider enttäuschen. Stattdessen köcheln viele Suppen parallel auf Ihren Geräten. Die Frage, wie man eventuell aufgezwungene EU-Stammzertifikate entfernt, falls es nötig würde, fällt also nicht leicht zu beantworten.