SSL-Zertifikate

Einleitung

Sicherlich sind Sie schon einmal über SSL-Zertifikate gestolpert: Sie rufen eine verschlüsselte Website auf (zu erkennen am „https://“ statt „http://“) und bekommen eine Sicherheitswarnung, dass ein Zertifikat nicht vertrauenswürdig oder abgelaufen sei. Was hat es damit auf sich? (Weiter unten steht, was Sie tun können.)

Ein Zertifikat ist so etwas wie ein Personalausweis eines Servers oder einer Website – es bestätigt, dass Sie es wirklich mit der Firma oder Organisation zu tun haben, die Sie aufgerufen haben. (Auch Ihr amtlicher Ausweis dient nur dazu, Ihre Identität und evtl. zusätzliche Daten wie Geburtsdatum und Wohnort zu bescheinigen.)

Ein Ausweis ist für Sie nur so viel wert wie Ihr Vertrauen in seine Ausgabestelle – wenn Ihnen jemand einen Pass z.B. der Freien Republik Wendland oder des Freistaats Zürich präsentierte, zögen Sie seine Gültigkeit wohl in Zweifel, weil die Ausgabestelle Ihnen nicht als „offiziell genug“ bekannt ist. (Bei einem ausländischen Pass fehlen Ihnen möglicherweise die Kenntnisse, um seine Echtheit beurteilen zu können, denken Sie z.B. an Palästina oder Tibet.)

Ähnlich ist es bei den Zertifikaten: Ihr Betriebssystem oder Browser hat die sogenannten Root-Zertifikate einiger großer Zertifizierungs-Firmen (z.B. Verisign, Globalsign, Thawte) eingebaut und „vertraut“ ihnen – das heißt, Microsoft, Apple usw. vertrauen darauf, dass diese Firmen die Identität ihrer Kunden gewissenhaft prüfen. Ein Zertifikat einer unbekannten Zertifizierungsstelle, wie z.B. CAcert.org, wird abgelehnt, bis Sie es ausdrücklich als vertrauenswürdig bestätigen.

Für die eigentliche Verschlüsselung ist es völlig unerheblich, wie echt oder gültig das Zertifikat ist – Ihr Computer (Betriebssystem, Browser, sonstiges Programm) benutzt den öffentlichen Schlüssel aus dem Zertifikat, um alles, was Sie senden, so zu codieren, dass nur der Inhaber des privaten Schlüssels zum Zertifikat es entziffern kann. (Einzelheiten können sie z.B. bei Wikipedia nachlesen.) Die Gültigkeit ist jedoch wichtig, wenn Sie sicher sein möchten, wem Sie Ihre wertvollen/privaten/geheimen Daten schicken.

Ihr persönliches Zertifikat können Sie z.B. auch für die Signierung und Verschlüsselung Ihrer E-Mails einsetzen – für eine verschlüsselte Kommunikation müssen Sie allerdings das Zertifikat (den öffentlichen Schlüssel) Ihres Empfängers kennen.

CAcert

CAcert.org ist eine Zertifizierungsstelle („Certificate Authority“, CA), die von einer weltweiten ehrenamtlichen Gemeinschaft getragen wird und Zertifikate kostenlos ausgibt. Sie hat das Ziel, das Bewusstsein für und die Kenntnisse um Computersicherheit durch die Verwendung von Verschlüsselung zu fördern. (Siehe auch „About CAcert.org“)

Während es bei kommerziellen Zertifizierungsstellen meist ausreicht, eine Ausweiskopie einzusenden oder mit einer Kreditkarte, die auf den betreffenden Namen läuft, zu bezahlen, müssen Sie sich persönlich mit CAcert-Mitarbeitern („Assurern“) treffen und mit amtlichen Ausweisen identifizieren, um ein Zertifikat zu bekommen. Eine gute Gelegenheit dazu sind „Key Signing Partys“, die häufig bei Veranstaltungen der Open-Source-Szene angeboten werden (der Name stammt vom gegenseitigen Signieren der GPG-Schlüssel, einer anderen, weit verbreiteten Methode der E-Mail-Verschlüsselung).

Das Root-Zertifikat von CAcert wird bisher leider nur mit manchen Linux- und BSD-Distributionen ausgeliefert – Apple, Microsoft und andere verlangen ein Webtrust-Audit, das für eine ehrenamtliche Organisation viel zu teuer ist. Sie können das Zertifikat aber leicht selbst installieren:

Installation der CAcert-Root-Zertifikate

Grundsätzlich benötigen Sie die Klasse-1- und 3-Zertifikate, und zwar im PEM-Format, Sie finden Sie hier.

MacOS X:

Laden Sie die beiden Dateien herunter. Starten Sie die Schlüsselbundverwaltung per Doppelklick auf „root.crt“, wählen Sie den Schlüsselbund „System-Roots“ und bestätigen Sie mit „Ok“ und der Eingabe Ihres Passworts. Ebenso mit „class3.crt“. Fertig!

Apple Mail, Safari, Chrome und manche anderen Programme verwenden die Zertifikate aus dem Schlüsselbund, für andere Programme und Browser müssen Sie sie einzeln installieren.

Windows:

Laden Sie die beiden Dateien herunter und melden Sie sich als Administrator an (oder mit entsprechenden Rechten).

Klicken Sie mit der rechten Maustaste auf „root.crt“ und wählen Sie „Zertifikat installieren“. Wählen Sie den Zertifikatsspeicher „Vertrauenswürdige Stammzertifizierungsstellen“ und bestätigen Sie den Sicherheitshinweis, nachdem Sie den angezeigten Fingerabdruck mit dem auf der Website verglichen haben (die fehlenden Doppelpunkte sind irrelevant).

Für „class3.crt“ wählen Sie den Zertifikatsspeicher „Zwischenzertifizierungsstellen“.

Die Zertifikate werden jetzt vom Internet Explorer, Outlook und manchen anderen Programmen erkannt.

Mozilla Firefox (SeaMonkey usw.):

Klicken Sie auf den Link zum Zertifikat, und Sie werden gefragt, ob Sie der neuen Zertifizierungsstelle für verschiedene Identifikationen vertrauen – klicken Sie ruhig alle an.

Bevor Sie bestätigen, sollten Sie sich die Details anzeigen lassen und den „Fingerabdruck“ mit dem auf der Website überprüfen.

Mozilla Thunderbird:

Klicken Sie in den Einstellungen auf „Erweitert / Zertifikate / Zertifizierungsstellen / Importieren“ und öffnen Sie die beiden heruntergeladenen crt-Dateien.

Adobe Acrobat Pro:

Adobe ändert leider in jeder Version die Bezeichnung und Lage diverser Menüpunkte (und macht immer wieder neue Übersetzungsfehler). Dies gilt für Acrobat 9:

Im Menü „Erweitert / Vertrauenswürdige Identitäten verwalten“ stellen Sie die Anzeige auf „Zertifikate“ und klicken „Kontakte hinzufügen“. Im Dialog „Zu importierende Kontakte auswählen“ klicken Sie auf „Durchsuchen“ und wählen Sie „root.crt“ aus, danach „class3.crt“ und klicken Sie auf „Importieren“.

Stellen Sie nun Anzeige auf „Kontakte“ und importieren Sie auf die gleiche Weise Ihr persönliches CAcert-Zertifikat. Unter „Details“ können Sie die Vertrauenseinstellungen bearbeiten und z.B. Ihre Postadresse eintragen.

Bei Acrobat 7 geht es fast genauso, nur müssen Sie die Dateiendung .crt vorher in .cer ändern.

Weitere Anleitungen (auf englisch) finden Sie hier.