Webseiten selbst signieren im Trend

Webmaster vertrauen auf eigene Zertifikate!

Immer mehr Webmaster setzen auf Sicherheit im Internet. Dies ist zu begrüßen – und viele gehen einen eigenen Weg – für viele Besucher der Webseite nur schwer verständlich, aber wir möchten diesen Webmastern und Seitenbetreibern eine Chance geben und erklären Ihnen, warum ein selbstsigniertes Zertifikat so sicher ist, wie alle anderen Zertifikate bzw. was die Sicherheit eines Zertifikats ausmacht.

Was sind Zertifikate?!

Zertifikate sind kleine Dateien mit der Endung .cer (in den meisten Fällen, die Dateiendung hängt jedoch vom Zertifikattypen ab), welche eine sichere Verbindung zwischen dem Computer und dem Server ermöglichen.

Nur wer im Besitz des Schlüssels ist kann Dateien sicher empfangen bzw. verschicken.

Das ganze funktioniert wie ein Vorhängeschloss, nur digital. Der Serverbetreiber/Webmaster oder Admin hat eine Datei mit der Schlüsselnummer und dem eigentlichen Zertifikat. Diese Datei liegt auf dem Server und dient der Entschlüsselung. Der Absender, also Nutzer der verschlüsselten Seite, sendet nun eine Anfrage über diese ab. Die Seite verschlüsselt die Anfrage, sodass nur noch der Empfänger-Server etwas mit dem Inhalt anfangen kann.

Der Absender selbst kann die Dateien, Eingaben usw. zwar sehen, aber mit dem Absenden sind diese Daten verschlüsselt.

Es gibt jedoch Gefahren!

Nicht jedes Zertifikat ist ein echtes Zertifikat! Darum ist hier immer Obacht geboten. Einige Hacker, Diebe und Betrüger versuchen mit sogenannten selbstsignierten oder manipulierten Zertifikaten das Vertrauen des Nutzers zu erhalten, indem Zertifikate eines echten Anbieters durch falsche ausgetauscht werden, da sonst eine Entschlüsselung einzelner Datenteile Jahre dauern würde.

Darum wurden sogenannte Zertifizierungsstellen ins Leben gerufen, die seitens des Endgeräts verwaltet werden und, bei Windows, durch Microsoft an alle Browser zu Verfügung gestellt werden.

Diese von Microsoft zur Verfügung gestellte Funktion nennt sich “vertrauenswürdige Herausgeber” und gilt deshalb als “besonders sicher”, weil die Zertifikate durch Microsoft hinzugefügt werden.

Wenige wissen, wie das System genau funktioniert und vertrauen blind auf dieses, doch auch dieses kann einfach manipuliert werden, indem einzelne Zertifikate ausgetauscht werden könnten.

Es ist daher nicht einmal sicher, dass ein sicheres Zertifikat sicher ist, nur weil es sicher scheint und daher ist immer Vorsicht besser als Nachsicht, denn über verschlüsselte Seiten werden, bis 2014, ausschließlich vertrauliche Informationen ausgetauscht.

Mittlerweile nutzen Google und Co. für den Standard-Auftritt bereits verschlüsselte Seiten, da es in der Vergangenheit immer wieder zu sogenannten Pishing-Angriffen kamen, wo Abfragen abgefangen wurden und man daher Angst vor Manipulation hat.

Wie kann man also Sicher sein?

Es gibt eine einfache Methode, die jedem Nutzer eines Computers oder anderem mobilen Gerät zur Verfügung steht.

Sobald Sie eine Internetseite mit einem Zertifikat aufrufen können Sie das Zertifikat manuell prüfen, selbst wenn Ihr Browser die Seite eventuell blockiert, weil ihm das Zertifikat nicht vertraut ist.

Prüfen des Zertifikats

Wir nehmen dazu unsere Seite. Rufen Sie unsere Seite einfach mit folgender URL auf, um die Seite sicher zu besuchen: https://frdev.net

Sie erhalten mit dem Aufruf eine “Fehler”- bzw. “Warnmeldung” ausgegeben. Sie können die Seite auch gefahrenlos aufrufen ohne das Zertifikat zu prüfen, was jedoch nicht empfehlenswert ist. Daher prüfen wir nun das Zertifikat.

1. ) Klicken Sie auf das Schloss, dass links neben der Web-URL erscheint und in Ihrem Fall rot sein müsste (rechtsklick).

2.) Klicken Sie (ggf. auf “Verbindung” oder ähnliches und dann) auf “Zertifikatinformationen”.

Anhand der Information “Ausgestellt für:” und “Ausgestellt von:” wissen wir nun wer das Zertifikat ausgestellt hat und für welche Seite. Weitere Details erhalten wir unter “Details”, wo wir unter “Aussteller” und “Antragssteller” die Impressum-Informationen finden bzw. auch eine Adresse zum verantwortlichen Webmaster usw.

Sind diese Angaben eurer Meinung nach Vertrauensvoll, dann könnt Ihr folgendes machen:

1.) Klickt im Tab “Details” (siehe oben Schritt 2) auf “In Datei kopieren…” und speichert die Datei dann unter einem beliebigen Namen auf eurem Computer. Der Dateiname ist unerheblich.

2.) Öffnet den Speicherort des Zertifikats und klickt mit einem Doppelklick rechts auf das Zertifikat und klickt dann im kommenden Fenster auf “Zertifikat installieren…”

3.) Klickt auf Weiter und dann wählt ihr zum installieren des Zertifikat “Alle Zertifikate in folgendem Speicher speichern” und auf die Schaltfläche “Durchsuchen…”

4.) Wählt den Ordner “Vertrauenswürdige Stammzertifikationsstellen” und klickt auf “OK”, dann auf die Schaltfläche “Weiter” und anschließend auf die Schaltfläche “Fertig stellen”. Danach werden Sie gefragt, ob Sie es wirklich installieren möchten. Bestätigen Sie dies ebenfalls mit “Ja” und die Installation wird bestätigt.

Nun müsste ihr nur noch den Browser einmal schließen und die Webseite https://frdev.net aufrufen, schon erscheint die Webseite als “vertrauenswürdige Webseite”, obwohl die Webseite selbst zertifiziert wurde.

Das kann man mit ruhigen Gewissen machen, wenn man eben geprüft hat, ob er Herausgeber des Zertifikats auch der Anbieter der Webseite ist oder man der Webseite blind vertraut, weil man zum Beispiel dessen Webmaster persönlich kennt usw.

Bei Ungewissheit, ob ein Zertifikat echt ist oder nicht gilt immer der Rat, lieber erstmal Finger weg!

Ihr solltet in solchen Fällen die angegebene E-Mail Adresse des Zertifikats kontaktieren oder direkt den Webseitenbetreiber, sofern es ein Impressum oder Kontaktformular gibt.

Wenn das Zertifikat durch den Webmaster bestätigt wird ist eine verschlüsselte Übertragung sicher und das Zertifikat kann installiert werden. In der Regel schicken die Webmaster, wenn selbstsignierte Zertifikate verwendet werden, die “Benutzerversion” mit der E-Mail, die dann mit Doppelklick aufgerufen, geprüft und dann installiert werden kann, sofern die Angaben alle Übereinstimmen.

Bei selbstsignierten Zertifikaten muss der Herausgeber (Ausgestellt von: und Ausgestellt für:) übereinstimmen, da sonst über eine Dritte, Ihnen und uns unbekannten Webseite, die Übertragung erfolgt und nicht mit dem unmittelbaren Server, mit dem die Verbindung ursprünglich hergestellt wurde.

Zum Thema Sicherheit im Internet gibt es haufenweise Informations-Webseiten mit nützlichen und brauchbaren Tipps und Tricks.

Wir empfehlen den regelmäßigen Besuch der Webseite des Bundesamt für Sicherheit: https://www.bsi.bund.de/

Als Denkhilfe hilft vielleicht noch folgender Hinweis:

http ist immer eine normale, unverschlüsselte Verbindung zwischen Ihrem Endgerät und einem Server oder Computer.

https ist immer eine sichere, verschlüsselte Verbindung zwischen Ihrem Endgerät und einem Server oder Computer.

https muss zum einen vom Webserver unterstützt werden, zum anderen vom Webmaster angeboten werden. Beim Online-Shopping und überall, wo persönliche Daten hinterlegt werden, empfehlen wir ihnen dringlich darauf zu achten, dass eine sichere, verschlüsselte Verbindung verwendet wird, da sonst Daten durch Dritte problemlos abgefangen und ausgewertet werden können. https-Verbindungen können zwar abgefangen werden, aber die Daten nützen den Unbefugten nichts ohne den passenden Zertifikat-Schlüssel, der mittels MD5-Hash zusätzlich gegen Fälschung und Manipulation technisch abgesichert ist.

Viele Webseiten können problemlos mit https aufgerufen werden, obwohl das nicht “offiziell” angezeigt wird – dort könnte es dann allerdings vermehrt zu den oben genannten Fehler- oder Warnmeldungen kommen, die Ihr, wenn Ihr der Webseite bzw. dem Server der Webseite (oder Webmaster) vertraut, dann mit dieser oder ähnlicher Hilfestellung beheben könnt, um eine sichere Verbindung auch dann zu nutzen, wenn der Webmaster das nicht direkt durch kommerzielle Anbieter bewerkstelligen kann.

Die FRD e.V. Network Webseite kann ebenfalls sicher genutzt werden. Probiert es gerne einfach bei uns aus, es ist nicht schwer und wird bei jedem Mal einfacher in der Handhabung.

Kommentare via Facebook
SHARE US!

Schreibe einen Kommentar

Facebook