TLS-Zertifikate (Transport Layer Security) verifizieren die Identität sowohl des Website-Inhabers als auch der Website-Informationen. In der Praxis helfen diese Website-Sicherheitszertifikate Firefox bei der Beurteilung, ob es sich bei der von Ihnen gerade besuchten Webseite auch um diejenige handelt, für die sie sich ausgibt. Hier erfahren Sie, wie Zertifikate funktionieren.
Inhaltsverzeichnis
Websites, die Zertifikate verwenden
Websites, deren Adressen mit https beginnen, verwenden TLS-Zertifikate. Diese Websites sind nur dann sicher, wenn sie zwei Bedingungen erfüllen:
- Der Website-Administrator besitzt den Namen der Website oder kennt deren Besitzer.
- Die Website verschlüsselt die Verbindung zwischen Ihrem Browser und sich selbst, um ein Ausspähen zu verhindern.
Zertifikatskette („Vertrauenskette“ oder „Chain of Trust“)
Browser wie Firefox überprüfen Zertifikate durch eine Hierarchie, die Zertifikatskette (auch „Vertrauenskette“ oder „Chain of Trust“) genannt wird. Sie definiert eine Struktur für Browser und andere Programme, um die Integrität des Zertifikats zu überprüfen. Dieses Diagramm zeigt die Zertifikatskette:
Die Zertifikatskette besteht aus drei Zertifikaten:
- dem Stammzertifikat, auch als Wurzel- oder Root-Zertifikat bezeichnet (= trust anchor)
- dem Zwischenzertifikat (intermediate)
- dem Serverzertifikat (end entity)
Definition der Zertifikate: Das Stammzertifikat gehört einer Zertifizierungsstelle (Certificate Authority, kurz CA), die TLS-Zertifikate ausstellt und denen der Browser grundsätzlich vertraut. Das Zwischenzertifikat fungiert als Vermittler zwischen der Stammzertifizierungsstelle und der Website. Das Serverzertifikat gehört der Person, die die Website verwaltet, z. B. dem Administrator.
Diese Zertifikate beinhalten folgende Informationen:
- Einzelheiten über die Zertifizierungsstelle (CA)
- ein asymmetrisches Schlüsselpaar mit einem
- privaten Schlüssel, der das nächste Zertifikat in der Kette verschlüsselt signiert; das Serverzertifikat verfügt über einen Schlüssel für andere Aufgaben
- öffentlichen Schlüssel zum Entschlüsseln der Signatur des nächsten Zertifikats in der Kette, um dessen Identität zu überprüfen, das Serverzertifikat verwendet ihn für andere Aufgaben.
Das folgende Kapitel beschreibt, wie Firefox prüft, ob eine Website sicher ist.
Wie prüft Firefox mithilfe der Zertifikatskette die Integrität der TLS-Zertifikate?
- Firefox lädt das Zertifikat der von Ihnen besuchten Website herunter.
- Firefox prüft das Zertifikat mithilfe seiner internen Zertifizierungsstellendatenbank (CAs).
- Dabei verwendet Firefox den öffentlichen Schlüssel des CA-Stammzertifikats, um sicherzustellen, dass das Stammzertifikat und das Zwischenzertifikat in der Kette korrekt signiert sind.
- Firefox prüft bei der Zertifizierungsstelle, ob die Website, zu der Sie eine Verbindung herstellen, mit der Website im Serverzertifikat übereinstimmt.
- Firefox erzeugt einen symmetrischen (eindeutigen) Schlüssel, um den HTTP-Verkehr der Verbindung zu verschlüsseln.
- Firefox verschlüsselt den symmetrischen Schlüssel mit dem öffentlichen Schlüssel des Serverzertifikats.
- Der private Schlüssel, der sich auf dem Webserver befindet, entschlüsselt die Verbindungsdaten.
Anzeigen eines Zertifikats
Mit diesen Schritten können Sie das Zertifikat einer Website anzeigen:
- Klicken Sie in der Adressleiste links neben der Internetadresse (URL) auf das Sperrschloss-Symbol.
- Klicken Sie auf
. - Klicken Sie unten auf
. - Klicken Sie im sich öffnenden Fenster „Seiteninformationen“ in der Registerkarte Sicherheit rechts auf
.
Firefox öffnet nun die Seite about:certificate mit den Angaben des Zertifikats für die Website, auf der Sie sich gerade befinden.
Inhalt von TLS-Zertifikaten
TLS-Zertifikate enthalten folgende Angaben:
- Inhabername: Enthält den Namen der Website und optionale Attribute, z. B. Informationen über die Organisation, die das Zertifikat besitzt.
- Ausstellername: Identifiziert die Organisation, die das Zertifikat ausgestellt hat.
- Gültigkeit: Zeigt Beginn und Ende der Gültigkeit des Zertifikats.
- Alternative Inhaberbezeichnungen: Liste der Website-Adressen (DNS-Namen), für die das Zertifikat gilt.
- Öffentlicher Schlüssel - Informationen: Liste der Attribute des öffentlichen Schlüssels des Zertifikats.
- Verschiedenes: Hierunter fallen z. B.
- die Seriennummer als eindeutige Identifikation des Zertifikats und
- der Signaturalgorithmus, d. h. der Algorithmus, der die Signatur erstellte.
- Fingerabdrücke: Hash der Zertifikatsdatei im binären DER-Format (englischsprachiger Link).
- Schlüsselverwendung und Erweitere Schlüsselverwendung: Gibt an, wie Personen das Zertifikat verwenden können, z. B. um den Besitz einer Website zu bestätigen (Webserver-Authentifizierung).
- ID für verwendeten Schlüssel des Zertifikatinhabers (Subject Key ID): Eine Kennung, die aus dem öffentlichen Schlüssel des TLS-Zertifikats erstellt wird, um das Zertifikat zu identifizieren.
- ID für verwendeten Schlüssel der Zertifizierungsstelle (Authority Key ID): Eine Kennung, die aus dem öffentlichen Schlüssel des TLS-Zertifikats erstellt wird, um den öffentlichen Schlüssel zu identifizieren, der dem privaten Schlüssel entspricht, der zum Signieren des Zertifikats verwendet wird.
- Endpunkte für CRL (Zertifikatsperrliste): Die Speicherorte der Zertifikatssperrliste (Certificate Revocation List = CRL) der ausstellenden Zertifizierungsstelle (englischsprachiger Link).
- Zertifizierungsstelleninformationen - Authority Info (AIA): Enthält die Validierungsmethode für die Zertifizierungsstelle und Zwischenzertifikatsdateien.
- Zertifikatsregeln: Enthält den Zertifikatsvalidierungstyp und einen Link zum Certification Practices Statement (CPS) der Zertifizierungsstelle (englischsprachiger Link).
- Enthaltene signierte Zertifikatzeitstempel (SCT): Liste der signierten Zertifikatszeitstempel (Signed Certificate Timestamps = (SCTs) (englischsprachiger Link).
Probleme mit Zertifikaten
Wenn es beim Besuch einer Webseite, deren Internetadresse (URL) mit https beginnt, ein Problem mit dem TLS-Zertifikat gibt, sehen Sie anstelle der aufgerufenen Webseite eine Fehlerseite mit einer entsprechenden Meldung. Unter Was bedeutet „Diese Verbindung ist nicht sicher“? finden Sie einige der häufigsten Fehlermeldungen.
Mit diesen Schritten zeigen Sie ein solches problematisches Zertifikat an:
- Klicken Sie auf der Fehlerseite mit der Warnung „Warnung: Diese Verbindung ist nicht sicher“, „Warnung: Mögliches Sicherheitsrisiko erkannt“ oder ähnlichen Warnungen auf
(auf Fehlerseiten mit anderslautenden Warnungen klicken Sie auf ), damit technische Details über diesen Fehler angezeigt werden. - Klicken Sie unterhalb des Fehlercodes auf den Link Zertifikat anzeigen, um die Seite mit den Angaben zum Zertifikat zu öffnen.