Zertifikate - oder "Schlangenöl"

Submitted by admin on Fr, 28.04.2017 - 16:37

Das ewige Ärgernis Zertifikate schafft ständig neue Probleme. Man braucht sie immer, wenn man im Internet einen Server mit verschlüsselten Verbindungen betreibt. Diese kleinen Dateien kosten auch noch Geld, außer im Falle von Let's Encrypt. Warum kosten die wo anders eigentlich Geld?

Domain Validated

Diese Zertifikatsart hat genau eine Aussage: Der Antragsteller des Zertifikats hat (derzeit) die Kontrolle über die Domain, für die das Zertifikat ausgestellt werden soll. Außer der Tatsache, dass mit diesem Zertifikat eine verschlüsselte Verbindung aufgebaut werden kann, besagt das Schloss überhaupt nichts. Die "Kosten" für das Let's Encrypt Zertifikat spiegeln den genauen Gegenwert des Zertifikats wider. Es gibt keinen Grund mehr für das Zertifikat zu bezahlen. Mit DNSSEC und TLSA/DANE sind Domain Validated Zertifikate eigentlich obsolete - wenn die Browserhersteller da endlich mal mitziehen würden. Mit DANE sind auch selbstsignierte Zertifikate sicher.

Organization Validated

Irgendwer hat vielleicht geprüft, ob die Organisation, für das das Zertifikat ausgestellt wurde, existiert. Da gründet man einfach im US Bundesstaat Delaware eine Firma, das geht da anonym und so lange da jemand die Bundessteuern zahlt, interessiert sich niemand für den Eigentümer. Diese Validierung besagt also auch nicht mehr als Domain Validated.

Extended Validation

Mit diesen teuren Zertifikaten prüft jemand (angeblich) genauer, ob die Organisation existiert. Da gründet man einfach im US Bundesstaat Delaware eine Firma, das geht da anonym und so lange da jemand die Bundessteuern zahlt, interessiert sich niemand für den Eigentümer. Abgesehen von diesem hübschen, grünen Streifen besagt diese Validierung also auch nicht mehr als Domain Validated.

PKIs, ein Desaster nach dem anderen

Es fing 2011 mit DigiNotar an, ab da gab es kaum ein Jahr ohne Zwischenfälle. StartSSL (R.I.P.) hat mal für 149,- US$ p.a. + 49,- für jedes weitere Zertifikat das günstigste Angebot für EV gehabt. Nach der Nacht und Nebel Übernahme durch Wosign und der sha1 Affäre 2016 wurden die aus den Browsern gekickt.

Wenn man den Mails in der Mozilla Security-Mailingliste Glauben schenken darf, dann hat Symantec (vormals Verisign) wohl ein wenig die Übersicht über seine Sub-CAs (einschließlich US-Geheimdienste?) verloren, so dass offenbar rund 30000 Zertifikate ausgestellt wurden, die nach den Regeln des CA/Browser Forums nicht hätten ausgestellt werden dürfen. Konsequenterweise müssten die eigentlich  wie StartSSL behandelt werden - oder gilt hier "Too big to fail?". Dafür nehmen die auch die höchsten Preise - wofür eigentlich? Wie praktisch für Symantec, dass bei den Banken nicht kostenbewusst gearbeitet wird.

Fazit

Streng genommen muss man als Anwender alle PKIs aus dem Browser löschen. Vertrauenswürdig ist da keine. Was an CAcert schlechter sein soll, als bei Symantec, erschließt sich mir nicht wirklich.