Ungültige Zertifikate
Grundwissen: asymmetrische Kryptografie in der Praxis, Teil 3
Zertifikate sichern das Internet, vom privaten Blog bis zum milliardenschweren Onlinehändler. Aber Fehler passieren und wenn man ein kompromittiertes oder fehlerhaftes Zertifikat widerrufen muss, blättert von der schönen Public-Key-Infrastruktur schnell der Lack ab. Wir erklären, an welchen Stellen es klemmt.
Zertifikate sind das primäre Bollwerk gegen Betrug und Überwachung im Internet. In den beiden ersten Teilen dieser Reihe [1, 2] haben wir erklärt, wie man ein Schlüsselpaar generiert und dann über einen „Certificate Signing Request“ (CSR) eine Zertifizierungsstelle (Certification Authority, CA) um ein Zertifikat bittet.
Das belegt nun die Authentizität der eigenen Website und erlaubt, die Kommunikation mit den Webseitenbesuchern zu verschlüsseln. Das klappt – ganz wichtig – unabhängig von der CA. Die erfährt nicht, welche Nutzer die Website besuchen, und kann auch komplett ausfallen, ohne dass dies die Sicherheit der Website beeinträchtigt. Zumindest, wenn man nicht gerade ein neues Zertifikat benötigt.