Warum „hochwertige“ Zertifikate immer wichtiger werden

In der heutigen vernetzten Welt ist Sicherheit und Vertrauen von unschätzbarem Wert. Wer garantiert, dass mein Gegenüber auch der ist, für den er sich ausgibt und wie stelle ich sicher, dass beispielsweise die Login Seite meiner Bank auch tatsächlich die Login Seite meiner Bank ist?

Organisationen und Unternehmen sind darauf angewiesen, dass ihre Datenübertragungen, egal ob per E-Mail oder in Form von Webzugriffen, zu jeder Zeit sicher und vertrauenswürdig funktionieren. Hier kommen Zertifikate ins Spiel – sie sind unsere digitale Unterschrift und bilden gleichzeitig die Grundlage für Verschlüsselung und Identitätskontrolle.

Zertifikate werden dazu verwendet, Daten zu verschlüsseln und die Identität eines Systems, einer Person oder einer Website zu bestätigen. Die Verschlüsselung verwandelt den Klartext einer Information, mithilfe eines Schlüssels, in einen Geheimtext. Dabei kann ein Klartext vieles sein - eine Textnachricht, Voicemail, Bilder oder sonstige digitale Inhalte. Dieser Geheimtext kann dadurch über ein unsicheres Medium, z.B. das Internet, gesendet werden und kann nur durch die Empfänger mit einem korrespondierenden Schlüssel gelesen werden. Diesen Vorgang nennt man in der Kryptographie auch asymmetrische Verschlüsslung.

Wird ein Datenaustausch von einer unbekannten dritten Person abgefangen, spricht man von einem „Man-in-the- Middle-Angriff“. Bei diesem täuscht ein unbefugter Dritter vor, der Empfänger der Datenübertragung zu sein. Ohne ein Zertifikat und damit mögliche Verschlüsselung bzw. Signatur könnte diese Person den Inhalt mitlesen oder verändern, ohne dass dies auffallen würde. Ein Zertifikat ist also für eine sichere Kommunikation unerlässlich.

Wegen der Sicherheitsbedenken wird eine unverschlüsselte Kommunikation von den wenigsten Diensten im Internet akzeptiert. Zudem unterstützen viele Browser und Hersteller aus mathematischen Gründen seit einigen Jahren nur noch SSL-Zertifikate mit einer maximalen Gültigkeit von einem Jahr. Ist die Gültigkeit eines Zertifikats abgelaufen, wird die Kommunikation unterbrochen bzw. die Verfügbarkeit des Dienstes ist eingeschränkt, bis das Zertifikat erneuert wurde.

Zertifikate spielen nicht nur bei der Verschlüsselung eine Rolle, sondern auch bei der Identitätsprüfung im Internet. Sie werden auf Websites, in E-Mails, bei Kreditkartentransaktionen und vielen weiteren Anwendungsfällen verwendet. Ein Zertifikat bestätigt auch, dass die Website oder der Dienst, auch jene Instanz darstellt, mit welcher man kommunizieren möchte.

Beantragt man ein Zertifikat bei einer offiziellen Zertifizierungsstelle, verifiziert diese, ob der Antragsteller berechtigt ist, ein entsprechendes Zertifikat ausgestellt zu bekommen. Eine offizielle Zertifizierungsstelle zeichnet sich dadurch aus, dass deren Vertrauens-Anker (auch ROOT-Zertifikat genannt), bei allen gängigen Betriebssystemen bereits vorinstalliert ist und diese Betriebssysteme somit einem gültigen Zertifikat der entsprechenden Zertifizierungsstelle automatisch vertrauen. Teilweise bieten offizielle Zertifizierungsstellen unterschiedliche Verifizierungsmethoden an.

Die einfachste, aber auch unsicherste Methode ist hierbei die „Domain-Validation“ (DV). Bei dieser Methode wird lediglich geprüft, ob der Antragsteller Zugriff auf die zu verifizierende Domain hat. Gängige Verifizierungsverfahren sind: entweder die Möglichkeit eine E-Mail von dieser Domain zu empfangen oder die Möglichkeit einen entsprechenden DNS-Record für diese Domain zu hinterlegen. Hierbei findet keinerlei Verifizierung der Organisation statt, weshalb eine DV-Verifizierung, besonders im geschäftlichen Bereich, meist nicht die erste Wahl ist.

Wichtig! Warum sollten Unternehmen bspw. Login Seiten besonders gut schützen?

Die potenziellen Gefahren und Betrugsfälle im Internet sind bei weitem keine Neuigkeit, doch auch in Bezug auf Zertifikate ist Vorsicht geboten, denn DV-Zertifikate bestätigen nicht die Vertrauenswürdigkeit einer Website! Dieses Beispiel soll Ihnen einen Eindruck geben, wie leicht es ist den zertifizierten online Auftritt eines Unternehmens auszunutzen, um Sie zu täuschen:

Stellen Sie sich folgendes vor, sie wollen sich eigentlich über diese URL an Ihrem Online Banking Konto der Volksbank-Stuttgart anmelden: 

https://www.volksbank-stuttgart.de/ 

Ein Angreifer könnte sich die nachfolgende Domain, ohne großen Aufwand registrieren und sich für diese einfach ein domain-validiertes Zertifikat ausstellen lassen, welches von allen Betriebssystemen als gültig und sicher bestätigt werden würde:

https://www.vollsbank-stuttgart.de/
        
*Stand August 2023 freie Domain

Fällt Ihnen der Unterschied auf? 

Nun noch eine einfache Phishing-E-Mail hinterher, die Absende-Domain info@vollsbank-stuttgart.de wäre ja bereits im „rechtmäßigen“ Besitz des Angreifers, somit könnte er auch viele übliche E-Mail & SPAM Sicherheitsmethoden umgehen. 

Der ein oder andere würde sicherlich Versuchen seine korrekten Zugangsdaten auf der leicht falsch geschriebenen, aber aus technischer Sicht völlig sicheren, volLsbank-stuttgart.de Seite einzugeben.

Um einen solchen Betrugsfall vorzubeugen und Ihren Kunden die maximale Sicherheit zu bieten, gibt es eine weitere Verifizierungsmethode.

Die beliebteste Methode zur Zertifikats-Validierung für Unternehmen, welche Ihren Kunden sichere Login-Bereiche zur Verfügung stellen wollen und Wert auf eine signierte und vertrauenswürdige Identität legen, ist daher die „Organisation-Validation“ (OV). Hierbei prüft die Verifizierungsstelle zusätzlich, ob Sie auch wirklich der Eigentümer der Organisation sind, den Sie vorgeben zu sein. In unserem vorherigen Beispiel müsste der Angreifer also zuerst eine Organisation gründen, sich mit dieser im Handelsregister als volLsbank ausgeben und anschließend in einem persönlichen Gespräch mit der Zertifizierungsstelle, dem Prüfer klar machen, dass er ein berechtigtes Anliegen hat für die Organisation VolLsbank ein Zertifikat zu beantragen.

Um zu überprüfen, ob das SSL Zertifikat Ihres gegenüber Organisations-validiert ist, gehen Sie einfach in Ihrem Browser auf das Schloss und suchen Sie im Bereich Zertifikat nach dem Bereich „Organisation (O)“: 

Einige Zertifizierungsstellen bieten darüber hinaus noch strengere Identitätsprüfungen an, welche mehr Kriterien prüfen als eine Organisationsvalidierung. Bei der „Extended Validation“ (EV) werden zusätzlich zur Organisation noch die Geschäftsadresse, die alleinige Nutzung der Domain sowie die Befugnis der antragsstellenden Person geprüft. D.h. ob diese Person Rechtsgeschäfte im Namen der Organisation führen darf. In den meisten Fällen ist eine Organisationsvalidierung allerdings ausreichend.

Zertifikate sind das Fundament der digitalen Sicherheit und Identitätskontrolle. Ohne sie wäre sichere Kommunikation im Internet undenkbar. Doch der Umgang mit Zertifikaten stellt nicht zuletzt aufgrund der immer kürzer werdenden Laufzeit von Zertifikaten, einen nicht zu unterschätzenden Aufwand für Unternehmen dar. Auch der teilweise komplexe Umgang mit Zertifikaten sowie die Vielfalt der unterschiedlichen Zertifikate erfordern ein solides Grundwissen. Um einen reibungslosen Ablauf zu gewährleisten, ist ein bewusstes und zuverlässiges Zertifikatsmanagement daher unerlässlich.

Wie wir Sie unterstützen können

Wir, die audius, sind seit über 30 Jahren in der IT-Branche tätig und bieten neben Softwarelösungen auch Dienstleistungen im Bereich von Cloud-Technologien und IT-Security an. Zudem bieten wir Ihnen einen rundum Service zum Thema Zertifikatsmanagement.

Gerne beraten wir Sie bei der Auswahl der richtigen Zertifikate und übernehmen sowohl die Erstellung, das Einspielen, die Überwachung als auch die Verlängerung der Zertifikate für Ihr Unternehmen. 

Auch für die Nutzung von privaten PKIs sind wir der richtige Ansprechpartner und erarbeiten für Sie eine individuelle Lösung – sprechen Sie uns gerne an, wir freuen uns auf Sie!