Sicherheitszertifikate von Webseiten

Firefox Firefox Zuletzt aktualisiert: 35% der Nutzer finden dies hilfreich

TLS-Zertifikate (Transport Layer Security) verifizieren die Identität sowohl des Website-Inhabers als auch der Website-Informationen. In der Praxis helfen diese Website-Sicherheitszertifikate Firefox bei der Beurteilung, ob es sich bei der von Ihnen gerade besuchten Webseite auch um diejenige handelt, für die sie sich ausgibt. Hier erfahren Sie, wie Zertifikate funktionieren.

Websites, die Zertifikate verwenden

Websites, deren Adressen mit https beginnen, verwenden TLS-Zertifikate. Diese Websites sind nur dann sicher, wenn sie zwei Bedingungen erfüllen:

  • Der Website-Administrator besitzt den Namen der Website oder kennt deren Besitzer.
  • Die Website verschlüsselt die Verbindung zwischen Ihrem Browser und sich selbst, um ein Ausspähen zu verhindern.

Zertifikatskette („Vertrauenskette“ oder „Chain of Trust“)

Browser wie Firefox überprüfen Zertifikate durch eine Hierarchie, die Zertifikatskette (auch „Vertrauenskette“ oder „Chain of Trust“) genannt wird. Sie definiert eine Struktur für Browser und andere Programme, um die Integrität des Zertifikats zu überprüfen. Dieses Diagramm zeigt die Zertifikatskette:
chain-of-trust
Die Zertifikatskette besteht aus drei Zertifikaten:

  • dem Stammzertifikat, auch als Wurzel- oder Root-Zertifikat bezeichnet (= trust anchor)
  • dem Zwischenzertifikat (intermediate)
  • dem Serverzertifikat (end entity)

Definition der Zertifikate: Das Stammzertifikat gehört einer Zertifizierungsstelle (Certificate Authority, kurz CA), die TLS-Zertifikate ausstellt und denen der Browser grundsätzlich vertraut. Das Zwischenzertifikat fungiert als Vermittler zwischen der Stammzertifizierungsstelle und der Website. Das Serverzertifikat gehört der Person, die die Website verwaltet, z. B. dem Administrator.

Diese Zertifikate beinhalten folgende Informationen:

  • Einzelheiten über die Zertifizierungsstelle (CA)
  • ein asymmetrisches Schlüsselpaar mit einem
    • privaten Schlüssel, der das nächste Zertifikat in der Kette verschlüsselt signiert; das Serverzertifikat verfügt über einen Schlüssel für andere Aufgaben
    • öffentlichen Schlüssel zum Entschlüsseln der Signatur des nächsten Zertifikats in der Kette, um dessen Identität zu überprüfen, das Serverzertifikat verwendet ihn für andere Aufgaben.

Das folgende Kapitel beschreibt, wie Firefox prüft, ob eine Website sicher ist.

Wie prüft Firefox mithilfe der Zertifikatskette die Integrität der TLS-Zertifikate?

  1. Firefox lädt das Zertifikat der von Ihnen besuchten Website herunter.
  2. Firefox prüft das Zertifikat mithilfe seiner internen Zertifizierungsstellendatenbank (CAs).
    • Dabei verwendet Firefox den öffentlichen Schlüssel des CA-Stammzertifikats, um sicherzustellen, dass das Stammzertifikat und das Zwischenzertifikat in der Kette korrekt signiert sind.
  3. Firefox prüft bei der Zertifizierungsstelle, ob die Website, zu der Sie eine Verbindung herstellen, mit der Website im Serverzertifikat übereinstimmt.
  4. Firefox erzeugt einen symmetrischen (eindeutigen) Schlüssel, um den HTTP-Verkehr der Verbindung zu verschlüsseln.
  5. Firefox verschlüsselt den symmetrischen Schlüssel mit dem öffentlichen Schlüssel des Serverzertifikats.
  6. Der private Schlüssel, der sich auf dem Webserver befindet, entschlüsselt die Verbindungsdaten.

Anzeigen eines Zertifikats

Mit diesen Schritten können Sie das Zertifikat einer Website anzeigen:

  1. Klicken Sie in der Adressleiste links neben der Internetadresse (URL) auf das Sperrschloss-Symbol.
    TLS Zertifikat 1 fx127
  2. Klicken Sie auf Verbindung sicher.
    TLS Zertifikat 2 fx127
  3. Klicken Sie unten auf Weitere Informationen.
    TLS Zertifikat 3 fx127
  4. Klicken Sie im sich öffnenden Fenster „Seiteninformationen“ in der Registerkarte Sicherheit rechts auf Zertifikat anzeigen.
    TLS Zertifikat 4 fx127

Firefox öffnet nun die Seite about:certificate mit den Angaben des Zertifikats für die Website, auf der Sie sich gerade befinden.
TLS Zertifikat 5 fx127

Inhalt von TLS-Zertifikaten

TLS-Zertifikate enthalten folgende Angaben:

  • Inhabername: Enthält den Namen der Website und optionale Attribute, z. B. Informationen über die Organisation, die das Zertifikat besitzt.
  • Ausstellername: Identifiziert die Organisation, die das Zertifikat ausgestellt hat.
  • Gültigkeit: Zeigt Beginn und Ende der Gültigkeit des Zertifikats.
  • Alternative Inhaberbezeichnungen: Liste der Website-Adressen (DNS-Namen), für die das Zertifikat gilt.
  • Öffentlicher Schlüssel - Informationen: Liste der Attribute des öffentlichen Schlüssels des Zertifikats.
  • Verschiedenes: Hierunter fallen z. B.
    • die Seriennummer als eindeutige Identifikation des Zertifikats und
    • der Signaturalgorithmus, d. h. der Algorithmus, der die Signatur erstellte.
  • Fingerabdrücke: Hash der Zertifikatsdatei im binären DER-Format (englischsprachiger Link).
  • Schlüsselverwendung und Erweitere Schlüsselverwendung: Gibt an, wie Personen das Zertifikat verwenden können, z. B. um den Besitz einer Website zu bestätigen (Webserver-Authentifizierung).
  • ID für verwendeten Schlüssel des Zertifikatinhabers (Subject Key ID): Eine Kennung, die aus dem öffentlichen Schlüssel des TLS-Zertifikats erstellt wird, um das Zertifikat zu identifizieren.
  • ID für verwendeten Schlüssel der Zertifizierungsstelle (Authority Key ID): Eine Kennung, die aus dem öffentlichen Schlüssel des TLS-Zertifikats erstellt wird, um den öffentlichen Schlüssel zu identifizieren, der dem privaten Schlüssel entspricht, der zum Signieren des Zertifikats verwendet wird.
  • Endpunkte für CRL (Zertifikatsperrliste): Die Speicherorte der Zertifikatssperrliste (Certificate Revocation List = CRL) der ausstellenden Zertifizierungsstelle (englischsprachiger Link).
  • Zertifizierungsstelleninformationen - Authority Info (AIA): Enthält die Validierungsmethode für die Zertifizierungsstelle und Zwischenzertifikatsdateien.
  • Zertifikatsregeln: Enthält den Zertifikatsvalidierungstyp und einen Link zum Certification Practices Statement (CPS) der Zertifizierungsstelle (englischsprachiger Link).
  • Enthaltene signierte Zertifikatzeitstempel (SCT): Liste der signierten Zertifikatszeitstempel (Signed Certificate Timestamps = (SCTs) (englischsprachiger Link).

Probleme mit Zertifikaten

Wenn es beim Besuch einer Webseite, deren Internetadresse (URL) mit https beginnt, ein Problem mit dem TLS-Zertifikat gibt, sehen Sie anstelle der aufgerufenen Webseite eine Fehlerseite mit einer entsprechenden Meldung. Unter Was bedeutet „Diese Verbindung ist nicht sicher“? finden Sie einige der häufigsten Fehlermeldungen.

Mit diesen Schritten zeigen Sie ein solches problematisches Zertifikat an:

  1. Klicken Sie auf der Fehlerseite mit der Warnung „Warnung: Diese Verbindung ist nicht sicher“, „Warnung: Mögliches Sicherheitsrisiko erkannt“ oder ähnlichen Warnungen auf Erweitert… (auf Fehlerseiten mit anderslautenden Warnungen klicken Sie auf Weitere Informationen…), damit technische Details über diesen Fehler angezeigt werden.
    TLS Zertifikat Warnseite fx127
  2. Klicken Sie unterhalb des Fehlercodes auf den Link Zertifikat anzeigen, um die Seite mit den Angaben zum Zertifikat zu öffnen.
    TLS Zertifikat Warnseite erweiterte Infos fx127

War der Artikel hilfreich?

Bitte warten…

Diese netten Menschen haben geholfen, diesen Artikel zu schreiben:

Illustration of hands

Mitmachen

Vergrößern und teilen Sie Ihr Fachwissen mit anderen. Beantworten Sie Fragen und verbessern Sie unsere Wissensdatenbank.

Weitere Informationen