Sicherheitszertifikate von Webseiten

Firefox Firefox Zuletzt aktualisiert: 1 Tag ago

Sichere Website-Zertifikate (Transport Layer Security, kurz TLS genannt) verifizieren sowohl den rechtmäßigen Besitz als auch die Integrität der Informationen der von Ihnen besuchten Websites. In der Praxis helfen diese Website-Sicherheitszertifikate Firefox bei der Beurteilung, ob es sich bei der von Ihnen gerade besuchten Webseite auch um diejenige handelt, für die sie sich ausgibt. Hier erfahren Sie, wie Zertifikate funktionieren.

Welche Websites verwenden Zertifikate?

Websites, deren Adressen mit https beginnen, verwenden TLS-Serverzertifikate und gewährleisten durch die Verwendung von TLS-Serverzertifikaten zwei Dinge:

  • Der Website-Administrator besitzt den Domainnamen oder hat die Kontrolle darüber, so dass die Nutzer tatsächlich eine Verbindung zur legitimen Website herstellen (und nicht zu einer gefälschten oder bösartigen Kopie der Website).
  • Der verschlüsselte Datenaustausch über TLS zwischen dem Browser und der Website ist vor Ausspähen oder Manipulation durch unbefugte Parteien geschützt.

Zertifikatskette („Vertrauenskette“ oder „Chain of Trust“)

Browser wie Firefox überprüfen Zertifikate durch eine Hierarchie, die Zertifikatskette (auch „Vertrauenskette“ oder „Chain of Trust“) genannt wird. Sie definiert eine Struktur für Browser und andere Programme, um die Integrität des Zertifikats zu überprüfen. Die Zertifikatskette besteht normalerweise aus mindestens drei Zertifikaten:

  • dem Stammzertifikat, auch Wurzel- oder Root-Zertifikat genannt (Root Certificate)
  • einem oder mehreren Zwischenzertifikaten (Intermediate Certificate)
  • dem TLS-Serverzertifikat (End Entity Certificate)
    chain-of-trust

Definition der Zertifikate: Das Stammzertifikat gehört einer Zertifizierungsstelle (Certificate Authority, kurz CA), die TLS-Serverzertifikate ausstellt und denen der Browser grundsätzlich vertraut, so dass sie weitere Zertifikate ausstellen kann. Normalerweise stellt ein Stammzertifikat ein oder mehrere Zwischenzertifikate aus, die dann verwendet werden, um TLS-Serverzertifikate an Organisationen und Unternehmen auszustellen, die den Nachweis erbringen, dass sie die Kontrolle über die in diesen Zertifikaten angegebenen Website-Domains haben. Das kann auch die Person sein, die eine Website verwaltet, z. B. der Website-Administrator.

Zertifikate basieren auf der Public-Key-Kryptographie, bei der ein asymmetrisches Schlüsselpaar über zwei mathematisch verwandte Schlüssel verfügt:

  • Privater Schlüssel: Dieser Schlüssel wird von seinem Besitzer geheim gehalten und für kryptografische Vorgänge verwendet, wie dem Signieren von Daten (einschließlich Zertifikaten) oder dem Entschlüsseln verschlüsselter Informationen, die mit dem öffentlichen Schlüssel verschlüsselt wurden.
  • Öffentlicher Schlüssel: Dieser Schlüssel wird öffentlich geteilt. Mit ihm werden Unterschriften geprüft, die vom privaten Schlüssel erstellt wurden, oder Informationen verschlüsselt, die nur vom privaten Schlüssel entschlüsselt werden können.

    Öffentliche Schlüsselzertifikate enthalten folgende Informationen:
  • Einzelheiten zu der Zertifikatsbehörde (CA), die das Zertifikat ausgestellt hat
  • einen öffentlichen Schlüssel, der zur Organisation oder zum Unternehmen gehört, die das Zertifikat erhielten
  • identifizierende Informationen über die Organisation oder das Unternehmen, die den privaten Schlüssel besitzen (siehe unten das Kapitel Inhalt von TLS-Zertifikaten). Bei TLS-Serverzertifikaten ist das in erster Linie der Domainname der Website.

Das folgende Kapitel beschreibt, wie Firefox prüft, ob eine Website sicher ist.

Wie prüft Firefox mithilfe der Zertifikatskette die Integrität der TLS-Serverzertifikate?

  1. Firefox lädt das Zertifikat der von Ihnen besuchten Website herunter.
  2. Firefox gleicht das Zertifikat mit seiner internen Datenbank vertrauenswürdiger Zertifizierungsstellen (CAs) ab. Dabei verwendet Firefox den öffentlichen Schlüssel des CA-Stammzertifikats, um sicherzustellen, dass das Stammzertifikat und die Zwischenzertifikate bis zum TLS-Serverzertifikat, das von der Website bereitgestellt wurde, ordnungsgemäß in der gesamten Zertifikatskette signiert wurden.
  3. Firefox prüft die Informationen im Zertifikat, um sicherzustellen, dass die Website, mit der Sie verbunden sind, mit der im Zertifikat angegebenen Website übereinstimmt.
  4. Firefox erzeugt einen symmetrischen (einzelnen) Schlüssel, um den HTTP-Verkehr der Verbindung zu verschlüsseln.
  5. Firefox verschlüsselt den symmetrischen Schlüssel mit dem öffentlichen Schlüssel des Servers, der im Serverzertifikat enthalten ist.
  6. Der private Schlüssel, der sich auf dem Webserver befindet, entschlüsselt die erforderlichen Verbindungsdaten, um den sogenannten TLS-Handshake zu vervollständigen.

Nun kann eine sichere Kommunikation zwischen Firefox und der Website erfolgen.

Anzeigen eines Zertifikats

Mit diesen Schritten können Sie das Zertifikat einer Website anzeigen:

  1. Klicken Sie in der Adressleiste links neben der Internetadresse (URL) auf das Sperrschloss-Symbol.
    TLS Zertifikat 1 fx134
  2. Klicken Sie in der sich öffnenden Ansicht mit den „Website-Informationen für (Name der Website)“ auf Verbindung sicher.
    TLS Zertifikat 2 fx134
  3. Klicken Sie in der nächsten Ansicht „Verbindungssicherheit für (Name der Website)“ unten auf Weitere Informationen.
    TLS Zertifikat 3 fx134
  4. Klicken Sie im sich öffnenden Fenster mit den technischen Informationen über die aktuell besuchte Seite in der Registerkarte „Sicherheit“ rechts auf Zertifikat anzeigen.
    TLS Zertifikat 4 fx134
  5. Firefox öffnet nun die Seite about:certificate, um Informationen des Zertifikats für die Website anzuzeigen, auf der Sie sich gerade befinden. Die drei Tabs zeigen (von links nach rechts) das TLS-Serverzertifikat, das Zwischenzertifikat und das Stammzertifikat.
    TLS Zertifikat 5 fx134

Inhalt von TLS-Zertifikaten

TLS-Serverzertifikate enthalten folgende Angaben:

  • Inhabername: Enthält optionale Attribute, z. B. den Namen der Website und Informationen über die Organisation, die das Zertifikat besitzt.
  • Ausstellername: Identifiziert die Zertifizierungsstelle (CA), die das Zertifikat ausgestellt hat.
  • Gültigkeit: Zeigt Beginn und Ende der Gültigkeit des Zertifikats.
  • Alternative Inhaberbezeichnungen: Liste der Website-Adressen (DNS-Namen), für die das Zertifikat gilt.
  • Öffentlicher Schlüssel - Informationen: Liste der Attribute des öffentlichen Schlüssels des Zertifikats.
  • Verschiedenes: Hierunter fallen z. B.
    • die Seriennummer als eindeutige Identifikation des Zertifikats und
    • der Signaturalgorithmus, d. h. der Algorithmus, der die Signatur erstellte.
  • Fingerabdrücke: Hash der Zertifikatsdatei im binären DER-Format (englischsprachiger Link).
  • Schlüsselverwendung und Erweitere Schlüsselverwendung: Gibt an, wie Personen das Zertifikat verwenden können, um z. B. die TLS-Webserver-Authentifizierung durchzuführen.
  • ID für verwendeten Schlüssel des Zertifikatinhabers (Subject Key ID): Eine Kennung, die aus dem öffentlichen Schlüssel des TLS-Zertifikats erstellt wird, um das Zertifikat zu identifizieren.
  • ID für verwendeten Schlüssel der Zertifizierungsstelle (Authority Key ID): Eine Kennung, die aus dem öffentlichen Schlüssel der Zertifizierungsstelle (CA) erstellt wird, um den öffentlichen Schlüssel zu identifizieren, der mit dem privaten Schlüssel korrespondiert, der zum Signieren des Zertifikats verwendet wird.
  • Endpunkte für CRL (Zertifikatsperrliste): Die Speicherorte der Zertifikatssperrliste (Certificate Revocation List = CRL) der ausstellenden Zertifizierungsstelle (englischsprachiger Link).
  • Zertifizierungsstelleninformationen - Authority Info (AIA): Enthält die Validierungsmethode für die Zertifizierungsstelle und Zwischenzertifikatsdateien.
  • Zertifikatsregeln: Enthält Hinweise auf die Art des TLS-Zertifikats (z. B. Informationen, die bei der Ausstellung des Zertifikats geprüft wurden).
  • Enthaltene signierte Zertifikatzeitstempel (SCT): Liste der signierten Zertifikatszeitstempel (Signed Certificate Timestamps = (SCTs) (englischsprachiger Link).

Probleme mit Zertifikaten

Wenn es beim Besuch einer Webseite, deren Internetadresse (URL) mit https beginnt, ein Problem mit dem TLS-Zertifikat gibt, sehen Sie anstelle der aufgerufenen Webseite eine Fehlerseite mit einer entsprechenden Meldung. Unter Was bedeutet „Diese Verbindung ist nicht sicher“? finden Sie einige der häufigsten Fehlermeldungen.

Mit diesen Schritten zeigen Sie ein solches problematisches Zertifikat an:

  1. Klicken Sie auf der Fehlerseite mit der Warnung auf Erweitert…
    TLS Zertifikat Warnseite fx127
  2. Klicken Sie unterhalb des Fehlercodes auf den Link Zertifikat anzeigen, um die Seite mit den Angaben zum Zertifikat zu öffnen.
    TLS Zertifikat Warnseite erweiterte Infos fx127

War der Artikel hilfreich?

Bitte warten…

Diese netten Menschen haben geholfen, diesen Artikel zu schreiben:

pollti, Artist, graba, Aycharaych, Daniel2099
Illustration of hands

Mitmachen

Vergrößern und teilen Sie Ihr Fachwissen mit anderen. Beantworten Sie Fragen und verbessern Sie unsere Wissensdatenbank.

Weitere Informationen