Digitale Zertifikate wie SSL - Zertifikate geben Sicherheit. Sie sorgen dafür, dass die Vertraulichkeit von Daten durch die korrekte Anwendung der öffentlichen Schlüssel geschützt wird und bestätigen ihre Authentizität und Integrität. Auf diese Weise ermöglichen sie ein sicheres Kommunizieren mit Webseiten und somit die Sicherheit ihrer Daten.
Doch die Erfahrung sowie einige spektakuläre Fälle haben gezeigt, dass man sich nicht immer auf die Sicherheit und Authentizität von digitalen Zertifikaten verlassen kann. Theoretisch können SSL - Zertifikate nicht so einfach gehackt werden, basieren sie doch auf einem äußerst komplizierten Primzahl-Algorithmus. Doch im System gibt es durchaus Schwachstellen, sollte man denn als Hacker intensiv danach suchen. Für Commodo, einen Anbieter von SSL-Zertifikaten, wurde eine Schwachstelle zum großen Problem. Das Unternehmen gab zu, Hacker hätten mittels gestohlener Zugänge und privilegierter Rechte die Chance genutzt, sich selbst SSL - Zertifikate auszustellen und sich somit als bekannte Webseiten wie z.B. www.google.com oder login.skype.com auszugeben.
Eine gewisse Sicherheit bietet SSL also durchaus - als Rundum-Sorglos-Paket darf man SSL - Zertifikate allerdings nicht ansehen. Vorsicht ist nicht nur bei gewöhnlichen Usern angesagt, sondern auch bei Webseitenbetreibern. Ob sich ein SSL - Zertifikat für die gewünschte Anwendung eignet, und wie viel Sicherheit es tatsächlich verspricht, ist in den Dokumentationen der jeweiligen Zertifizierungsstelle, der Certificate Policy (CP) sowie dem Certification Practice Statement (CPS) zu lesen. Die Inhalte dieser Statements sind vorgegeben. Dennoch sind beispielsweise bei der Zuteilung von Zertifikaten Fehlerquellen bekannt, wenn Onlineprüfungen wie das OCSP (Online Certificate Status Protocol) und Zertifikatssperren zusammenspielen.
Doch gibt es Zertifizierungsstellen, die, oftmals auch kostenfrei, Alternativen anbieten. Der Anbieter CAcert gewährleistet Authentizität nicht anhand einer zentralen Identitätsprüfung, sondern durch die Verwendung eines Punktesystems. Bei diesem System erhält jedes Benutzerkonto eine gewisse Anzahl an Punkten. Der aktuelle Stand der Punkte gibt Aufschluss darüber, inwieweit und wie tief andere Mitglieder die Identität des Benutzers in Form von Punktvergaben überprüft haben. Wird der Punktestand beim Server angefordert, erhält man sogleich Informationen über die Authentizität und Gültigkeit des Zertifikats, die "grüne" Positivauskunft. Dieses User-Rated-System zeigt von Beginn an, dass die Übertragung der Daten SSL-geschützt geschieht, obwohl erst eine geringe Überprüfung (geringe Punktzahl) stattgefunden hat. Dies hat zur Folge, dass stets der Anschein von Sicherheit gegeben wird, die Übertragung aber möglicherweise gar nicht zu 100 Prozent sicher ist.
Sie brauchen Hilfe bei der Wahl des für Sie richtigen Zertifikats oder haben allgemeine Fragen zu diesem Thema? Melden Sie sich bei uns - wir freuen uns auf Ihren Anruf.
