Vorsicht bei kostenlosen SSL-Zertifikaten

Vorsicht bei kostenlosen SSL-Zertifikaten - die Kritik an den ungeprüften Zertifikaten ist ja durchaus korrekt. Aber einem Irrtum sitzen da die Experten auf: warum soll ich den zufällig mit meinem Browser ausgelieferten CAs mehr vertrauen als irgendeiner anderen CA?

Klar, wenn ich bei denen versuche ein Zertifikat zu bekommen (z.B. beim Trustcenter), muss ich durch allerlei Reifen springen um das Zertifikat zu bekommen. Das wirkt dann schön sicher. Nur wer garantiert mir, das alle Zertifikate dieser CA nach dem gleichen Muster vergeben wurden? Das nicht irgendjemand keinen Bock hatte und ein Zertifikat einfach so bestätigt hat, ohne zu prüfen? Oder das irgendwas gemauschelt wurde?

Eben. Es gibt dort nur die Garantie des Ausstellers. Die Firma, die mir das Zertifikat ausstellt, überprüft sich sozusagen selber. Klar, in Deutschland gibt es Vorschriften für Zertifikatsstellen und dazu gehören meines Wissens auch Prüfungen - aber wer garantiert mir das dort alles sauber abläuft? Bei dem was an Korruption im Gange ist ...

Ich will damit jetzt nicht dem Trustcenter irgendwas unterstellen - im Gegenteil, in der Firma benutzen wir auch deren Dienstleistungen. Aber zentrale Zertifizierungsstellen haben ein gravierendes Problem: die Sicherheit und Vertrauenswürdigkeit hängt einzig an der Vertrauenswürdigkeit der zentralen Stelle. Und bei Browsern werden diverse vom Browserhersteller als Vertrauenswürdig eingestufte Zertifizierungsstellen mitgeliefert - ich entscheide da nicht drüber, jemand anders entscheidet.

Das ist der klassische Konflikt zwischen zentraler Zertifizierung und dezentraler Zertifizierung über ein Web of Trust wie es bei OpenPGP oder GPG existiert. Natürlich kann ich dort auch nicht jedem trauen - aber wenn ich einem traue, lege ich selber das bei mir lokal fest. Und dieses Vertrauen ist nicht abhängig davon ob das eine grosse Firma mit tollen Boilerplate-Dokumenten ist.

Ohne Web of Trust Struktur ist Zertifzierung immer noch mehr Schein als Sein. Neben den Perlen gibts halt auch Säue - und genau das hat die ct festgestellt. Toller Erkenntnis - haben wir aus dem PGP-Lager schon vor Jahren gesagt.

tags: Sysadmin