SSL-Zertifikate

21.03.2016 12:00

Seit der Lancierung von «Let’s encrypt» Ende 2015 ist Gratis-SSL das Thema weltweit, so natürlich auch in der Schweiz. Löst Let’s encrypt mit seinen kostenlosen Zertifikaten nun alle Sicherheitsprobleme bei Web-Transaktionen? Die Antwort ist einfach: nein. Auch weiterhin sind Man-in-the-Middle-Angriffe (MiTM) möglich, nämlich dann, wenn dem MiTM ein signiertes Zertifikat für die entsprechende Domain vorliegt. Darüber hinaus befindet sich Let’s encrypt noch immer in der Beta-Phase, so dass – logischerweise – noch keine Langzeiterfahrungen vorliegen.

Die Ausstellung eines Zertifikates mit Let’s encrypt basiert auf der Domain-Validierung, die Web-Einträge müssen bereits beim Hoster sein. Erst dann werden die Zertifikate ausgestellt. Bei einer Domain-Validierung sendet die Ausgabestelle (CA) den Bestätigungslink per Mail an eine Adresse, die zur Domain gehören muss. Die Schwachstelle aller Domain-Validierungen, die auf diesem Weg über die Bühne gehen: Verschafft sich ein Hacker den Zugriff zum Mailkonto, hat er auch Zugriff auf das Zertifikat und kann es für seine Zwecke (miss)brauchen.

Den besten Ruf bei den SSL-Zertifikaten geniesst jenes von EV (Extended Validation) in der Branche. In der Browser-Adressleiste ist die Domain grün hinterlegt, siehe beispielsweise https://webstyle.ch. Die Verifizierung durch die Ausgabestelle (CA) erfolgt mittels Telefonanruf. EV garantiert höchste Vertrauenswürdigkeit und ist die beste Wahl bei Websites mit sensiblen Transaktionen wie E-Banking, Online-Shop mit Kreditkartenzahlung, Extranet mit Patientendaten etc.

Bei Let’s encrypt ist sicherheitstechnisch bestimmt interessant, dass die Zertifikate nur 90 Tage gültig sind und manuell oder per Cron-Job erneuert werden müssen, was eine neue Überprüfung auslöst.

Unsere Angebote: Let's encrypt, Standard (DV), Wildcard, Extended Validation (EV): Der Überblick über die SSL-Zertifikate – was sie können und was sie kosten.

2  Kommentare

  • 23.03.2016 13:44 Uhr

    Meiner Meinung nach liegt dieser Artikel in einem wesentlichen Punkt falsch.
    «Let's Encrypt» basiert zwar auf Domain-Validierung, aber es findet zu keinem Zeitpunkt eine Mail-Kommunikation statt! Die Validierung und die Zustellung des Zertifikates finden über eine Schnittstelle mit DNS-Validierung statt und sind deshalb durchaus weniger anfällig. Die Angriffsmöglichkeit via E-Mail existiert bei diesem Dienst gar nicht. Details zur Funktionsweise siehe https://letsencrypt.org/how-it-works.
    Liebe Gruess,
    Chris

  • Alain Martinet
    23.03.2016 14:03 Uhr

    Wir danken dir, Chris, für diese wichtige Korrektur. Die erste Hälfte unseres zweiten Absatzes ist somit falsch bzw. trifft nicht auf let's encrypt zu.

Schreiben Sie einen Kommentar zu dieser Seite

Antwort auf: Direkt auf das Thema antworten

5380 + 6
Google+ aktivieren