SSL – Sicherheit muss bezahlbar sein | #bcruhr6


SSL - SicherheitCAcert – SSL-Zertifikate ohne Kommerz

Eine Session beim Barcamp, die mich wirklich begeistert hat.

Der Kernsatz: Sicherheit im Browser darf nichts kosten. Ein verdammt guter Ansatz. Denn Sicherheit im Internet fängt da an, wo es der Anwender direkt sieht. Im Webbrowser. Und wie? Mit einer gesicherten Verbindung zwischen Server und Client.


SSL und was dahinter steckt

Jeder hat den Begriff schon einmal gehört, gelesen oder in Form eines https:// im Browser wahrgenommen. Aber was ist denn das?

SSL steht für „Secure Socket Layer“ und bedeutet im Kern nichts anderes, als dass der Browser den Server anhand einer kleinen Textdatei, eines Zertifikats, verifizieren kann. Das ist aber nur eine Seite. In diesem Zertifikat steht die Information über einen „Bürgen“, der dieses Zertifikat ausgestellt hat. Dieser Bürge ist die Zertifizierungsstelle. Dort identifiziert der Serverbetreiber sich und seinen Server und erhält dann ein Serverzertifikat.

Dieses Serverzertifikat fragt der Client ab und prüft, ob es gültig ist. Und zwar einerseits, ob es nicht abgelaufen ist und andererseits, ob die präsentierte Zertifizierungsstelle eben dieses Zertifikat ausgestellt oder zurückgerufen hat. Wenn alles funktioniert, weiß der Client dann, dass der Server, der gerade mit ihm spricht, auch wirklich der Richtige ist. Damit hat sich der Server beim Client authentisiert, also seine Identität klar bewiesen.

Der Vorteil: Authentisierung und Verschlüsselung

Sobald die Authentisierung abgeschlossen ist, verständigen sich Server und Client dann über den zweiten, noch wichtigeren Teil. Sie tauschen nämlich einen Schlüssel aus, mit dessen Hilfe sie anschließend verschlüsselt kommunizieren können. Die Verbindung zwischen dem Browser auf dem heimischen Rechner und dem Server des Anbieters im Internet ist damit für andere nicht mitzulesen. Die Übertragung von Passworten, Mail-Adressen, Anschriften oder Kreditkartendaten erfolgt dann auf einer vertrauenswürdigen Ebene.

Im Normalfall (also bei http:// Verbindungen) erfolgt die gesamte Kommunikation im Klartext. Alles ist für Leute „am Wegesrand“ mitzulesen. Vom Systemadmin in der Firma, über den Internetanbieter bis zum Serverbetreiber, alle können mitlesen, was da versendet wird. Und es ist wirklich erschreckend einfach.

Der Anwender muss sich bei einer unverschlüsselten Verbindung darauf vertrauen, das keiner mit liest, er in der Masse verschwindet oder der Serverbetreiber andere Maßnahmen auf seiner Website eingebaut hat, die die Übertragung sichern.

Aber warum? Es gibt doch einen gemeinsamen Standard, nämlich SSL. Warum setzt man den nicht einfach ein?

Der Nachteil: SSL Zertifikate sind eine Geldmaschine

Genau da liegt das Problem. Die großen Anbieter für die Ausstellung von SSL Zertifikaten verdienen mit damit ihr Geld. So eine Zertifizierungsstelle muss betrieben werden. Und da reichen eben nicht nur die Server, die die ausgestellten Zertifikate prüfen. Es müssen auch organisatorische Maßnahmen her, die einen ordnungsgemäßen Betrieb sicherstellen. Angefangen von der Frage, wie man einen Antragsteller identifiziert bis hin zu Notfall und Sicherungsmaßnahmen.

Hier wird es ein echtes Problem. Es kommt Geld ins Spiel. Natürlich damit auch der klassische BWLer, der seinen Gewinn maximieren will. Also eben nicht genau hinsehen und Prozesse einfach mal auslagern. Ist ja billiger, wenn das eine Software macht. Fehler an dieser Stelle bewirken dann, dass Zertifikate ausgestellt werden für Domains und Server, für die der Antragsteller das Eigentum nicht einmal nachgewiesen hat. So geschehen für einige prominente Domains, um dann mit Hilfe der falschen Zertifikate Daten und Geld abzuschöpfen.

„Pecunia non olet“ hieß es früher und genau so gehen manchen Zertifizierungsstellen auch vor. Zertifiziert wird wer Geld schickt.

Die Lösung: ein Betreiber, der nicht seinen Shareholdern verpflichtet ist.

Genau das wurde beim Barcamp so nebenbei vorgestellt. CAcert.org ist ein in Australien ansässiger Betreiber, der sich zum Ziel gesetzt hat, Betreiber von Webseiten mit preiswerter Sicherheit auszustatten. Und eben nicht so wie die Großen es vormachen. Man setzt nicht auf ein zentrales, gesichtsloses Konstrukt einer abgehobenen Organisation, sondern klar auf das Vertrauen zwischen Menschen. Der Begriff dafür: „Web of Trust“, also Netz des Vertrauens.

Das Grundprinzip: Menschen identifizieren Menschen

Überall gibt es Menschen, die andere anhand ihres Ausweises und des persönlichen Eindrucks identifizieren und bewerten könnten. Warum also nicht ein dezentrales Netzwerk von „Assurern“ aufbauen, die den jeweils anderen bestätigen. Die sich darüber hinaus auch gegenseitig ständig bestätigen, um so das Netzwerk aktuell zu halten. Menschen, die sich gegenseitig auf die an den Tag gelegte Sorgfalt bei der Identifikation überprüfen. So wird das Vertrauen der Personen untereinander ständig erneuert und ausgebaut.

Das Ergebnis: Identifizierte Menschen, die ihre Webseiten mit einem Zertifikat sichern können

Jede Person, die über einen bestimmten Vertrauenslevel verfügt, kann ein Serverzertifikat für den eigenen Webserver beantragen und damit die Kommunikation absichern.

Der Wehrmutstropfen: Die Aufnahme als Stammzertifizierungsstelle im Browser kostet Geld

Da kommt das Geld dann doch wieder ins Spiel. Damit das aber nicht ewig das Problem bleibt, kann man dem Betreiber Geld spenden. Und durch eigene Mithilfe weiter aufbauen.

Beides wird bei VICO Netzwerkservice, also dem offiziellen Arm der IT-Unken Bewegung, passieren. Ich hatte mich vor geraumer Zeit schon einmal bei CAcert angemeldet, weil ich das System wirklich gut und unterstützenswert finde. Leider ist das aber im Sand verlaufen, weil ich keine Gelegenheit hatte, Menschen zu treffen, die als „Assurer“ tätig sind. Beim Barcamp Ruhr waren aber einige vor Ort.

Getreu dem Motto „Machen ist König“ habe ich mich dann also am 10.3.2013 zumindest schon von vier Personen verifizieren lassen und werde diese Idee weiter unterstützen und voran treiben.


Datenschutz - Impressum

IT-Beratung - IT-Betrieb - Technologieberatung - IT-Risikobewertung - Vorträge und Weiterbildung zu IT-Themen