1. Leben
  2. Internet

Sicherheitszertifikate im Internet: Milliardenfach unbemerkt genutzt.

Zertifizierungsstellen : Die Sicherheitsdienste des Internets

Was sind Sicherheits­zertifikate? Nur die Wenigsten wissen es – dabei benutzt sie jeder. Jeden Tag.

Das Internet ist unvorstellbar groß. Mehr als 1,81 Milliarden Seiten umfasst es derzeit laut dem Statistik-Dienst „internetlivestats.com“. Sekündlich kommen neue Seiten hinzu, aus sämtlichen Ländern der Welt. Das Internet ist im Digitalen zum Abbild der realen Welt geworden – mit all dem Unbekannten, dem Schönen, den Verlockungen und Entdeckungen, aber auch den Gefahren. Wer sorgt da wie für Vertrauen beim Surfen.

Es fängt alles mit einem kleinen Schlüssel an. Wer mit dem Firefox-Browser im Internet unterwegs ist, sieht an der linken Seite der Adressleiste oftmals das kleine Symbol eines geschlossenen Vorhängeschlosses. Ein Mausklick auf das Schlosssymbol zeigt dem Nutzer dann in grüner Schrift die Meldung „Verbindung sicher“. Wer die Aussage trifft, bleibt indes verborgen. Es scheint der Browser zu sein, der meldet, alles im grünen Bereich, die aufgerufene Seite ist sicher. Woher weiß ein Browser, welche Seite sicher ist und welche nicht?

Nun, er weiß es nicht. Zumindest nicht selbst. Der Browser benötigt die Informationen eines anderen, um die Aussage über die Sicherheit treffen zu können. Einen ersten Hinweis auf die verborgene Quelle – im Firefox-Browser – erhält man, wenn man die Computermaus für längere Zeit auf dem Schlüsselsymbol ruhen lässt, ohne es anzuklicken. Wer Twitter.com aufgerufen hat, liest dann: „Verifiziert von: DigiCertInc“. DigiCert? Nie gehört, werden wahrscheinlich viele jetzt sagen. Sagen, dass sie die Dienste von DigiCert nie genutzt haben, lässt sich aber nicht.

Die Firma DigiCert ist neben Unternehmen wie Identrust oder Let’s Encrypt einer der großen Anbieter von Internetsicherheits-Zertifikaten. Welchen Umfang die Sicherheitsbekundungen von DigiCert haben, wird klar, wenn man weiß, dass auch das soziale Netzwerk Facebook (mit Ende 2019 rund 2,5 Milliarden Nutzern) zu den Kunden des US-Unternehmens zählt.

Stark vereinfacht gesagt, stellt DigiCert per digitalem Zertifikat sicher, dass Facebook-Nutzer, die Sicherheit bekommen, die echte Seite des Sozialen Netzwerks aufgerufen zu haben – und nicht auf einer ähnlich aussehenden, aber gefälschten Seite gelandet zu sein. Und, dass die Kommunikation und Interaktion zwischen aufgerufener Seite und dem Nutzer in direkt-vertraulicher Verbindung ohne Dritte geschieht. Eine unverzichtbare Sicherheit, auf die Nutzer nicht erst beim Online-Einkauf (etwa beim Branchen-Primus Amazon, einem weiteren großen DigiCert-Kunden) oder beim Internet-Banking angewiesen sind.

So funktioniert der Prüfungsprozess beim Aufruf einer Seite: Sobald der Nutzer die Seite im Browser ansurft, fordert der diese automatisch dazu auf, sich zu identifizieren. Der Server, auf dem die Seite hinterlegt ist, übermittelt das vom Zertifizierungsunternehmen ausgestellte Zertifikat der Seite und die Informationen zur Herstellung einer sogenannten sicheren Verbindung. Nun prüft der Browser das Zertifikat auf dessen Korrektheit. Das geschieht über den Abgleich digitaler Schlüssel, also Zahlenwerten. Letztlich wählt der Browser auf Grundlage der Daten die bestmögliche Verbindungsart zum Server. Alles im Bruchteil einer Sekunde.

Erkennbar sind solche gesicherten Verbindungen dann mit einem Blick in die Adressleiste des Browsers: Steht nach dem Aufrufen einer Internetseite am Anfang der Adressleiste das Wort „https“ (Hypertext Transfer Protocoll Secure – sicheres Hypertext Übertragungs-Protokoll), handelt es sich um eine gesicherte Verbindung. Und im Hintergrund ist der eben beschriebene Prüfungsprozess erfolgreich verlaufen. Einfache „http“-Adressen gelten hingegen als unsicher, da sich ein Dritter potentiell unbemerkt in die Verbindung einklinken kann.

Alles aber steht und fällt mit dem Aussagegehalt der Zertifikate, im Extremfall können auch Menschenleben auf dem Spiel stehen. 2011 erregte zum Beispiel Aufsehen, dass die iranische Regierung ein Zertifikat missbraucht haben soll, um private E-Mails auf Google Mail mitlesen zu können und Personen so überwacht haben soll. 2015 wurde ein gültiges Sicherheitszertifikat von Microsoft gekapert, mit Hilfe dessen Angreifer Daten von gesicherten Verbindungen zu Microsoft-Servern abgreifen hätten können. Noch im selben Jahr wurden auch gefälschte Zertifikate für Google-Internetadressen entdeckt und gesperrt. 2018 mussten rund 23 000 Sicherheitszertifikate widerrufen werden, die über einen Zwischenhändler verkauft worden waren, weil die Kommunikation von Händler und Zertifikatsaussteller ungeschützt erfolgte. Und im März 2020 wurden kurzfristig auf einen Schlag gut drei Millionen Zertifikate wegen eines Sicherheitsproblems in einer Software von der Zertifikatsstelle Let’s Encrypt für ungültig erklärt.

Ein Problem beim Zertifizierungsprozess im Internet und Grund für mittlerweile kürzere Zertifikatslaufzeiten  ist, dass es laut IT-Magazin heise momentan „keinen allgemein funktionierenden Widerrufsmechanismus“ für Sicherheitszertifikate gibt. Was den Vorfall im Jahr 2011 betrifft, haben Browser-Hersteller reagiert und das Zertifikat nach Entdeckung blockiert. Erst kürzlich haben Browser-Hersteller zudem beschlossen, dass die maximale Gültigkeitsdauer von Sicherheitszertifikaten weiter herabgesetzt wird. Waren einst Zertifikats-Gültigkeiten von fünf Jahren gewöhnlich, dürfen sie seit September 2020 höchstens 398 Tage Geltung haben. Wobei einige Zertifizierungsstellen die Gültigkeit der Identitätsnachweise aus Gründen der Missbrauchs-Sicherheit auf noch weniger Tage beschränken.