Brow­ser be­män­gelt Web­sites Der Brow­ser Chro­me warnt ver­mehrt vor Web­sites mit un­kla­rer Si­cher­heits­la­ge bei der Ver­schlüs­se­lung. Aus gu­tem Grund?

PC-WELT - - Inhalt - VON AR­NE AR­NOLD

„Chro­me warnt nun ver­mehrt vor Web­sites mit un­kla­rer Si­cher­heits­la­ge bei der Ver­schlüs­se­lung.“

Di­gi­ta­le Zer­ti­fi­ka­te sor­gen für Si­cher­heit im In­ter­net. Sie be­stä­ti­gen die Echt­heit ei­ner Web­site und sind so et­was wie die Per­so­nal­aus­wei­se des In­ter­nets. Jetzt aber warnt der Brow­ser Chro­me vor vie­len Zer­ti­fi­ka­ten. Aus gu­tem Grund?

Seit An­fang Mai warnt der Brow­ser Goog­le Chro­me in der Ver­si­on 66 vor Web­sei­ten, die ei­gent­lich kor­rekt ver­schlüs­selt sind. Der Grund hier­für ist ein Streit zwi­schen Goog­le und ei­nem der Di­ens­te, die Zer­ti­fi­ka­te für ver­schlüs­sel­te Web­sei­ten aus­stell­ten. Es han­delt sich da­bei um die Fir­ma Sy­man­tec, die ne­ben An­ti­vi­ren­tools auch Ssl-/tls-zer­ti­fi­ka­te für Web­sei­ten ver­gab. Zu Sy­man­tec ge­hör­ten eben­falls die Zer­ti­fi­zie­rungs­stel­len Ve­ri­sign, Equi­fax, Geo Trust und Ra­pid SSL. Wie es zu dem Streit ge­kom­men ist, vor wel­chen Web­sites Chro­me heu­te und künf­tig warnt und war­um das Sys­tem von Zer­ti­fi­ka­ten so emp­find­lich ist, er­klä­ren wir in die­sem Bei­trag.

Goog­le deckt Feh­ler bei Sy­man­tec-zer­ti­fi­ka­ten auf

Goog­le hat ein sehr star­kes In­ter­es­se dar­an, dass das World Wi­de Web rei­bungs­los, schnell und si­cher funk­tio­niert. Denn Goog­le ver­dient mit Wer­bung im In­ter­net Geld, und das geht um­so bes­ser, je zu­frie­de­ner der In­ter­net­nut­zer ist und je mehr er dem In­ter­net und den In­ter­net-shops ver­traut. Dar­um hat Goog­le sei­nen ei­ge­nen In­ter­net­brow­ser Chro­me her­aus­ge­bracht und dar­um ar­bei­ten die Goog­le-in­ge­nieu­re hart dar­an, das WWW si­che­rer zum ma­chen. Was das The­ma si­che­res In­ter­net an­geht, so ver­folgt Goog­le un­ter an­de­rem das Ziel, dass mög­lichst al­le Web­sites ver­schlüs­selt sind und al­le ver­schlüs­sel­ten Web­sei­ten zu­ver­läs­sig den Fir­men ge­hö­ren, für die sie ste­hen. An die­ser Stel­le kom­men die Zer­ti­fi­ka­te für Web­sei­ten ins Spiel so­wie die Un­ter­neh­men, die die­se Zer­ti­fi­ka­te aus­stel­len, die so­ge­nann­ten Zer­ti­fi­zie­rungs­stel­len. Letz­te­re ver­kau­fen an Web­sei­ten­be­trei­ber Ssl-/tls-zer­ti­fi­ka­te, die be­le­gen, dass die Web­site ei­ner be­stimm­ten Per­son oder Fir­ma ge­hört. Sie ent­hal­ten auch den Schlüs­sel, mit dem sich die Ver­bin­dung zur Web­sei­te ver­schlüs­seln lässt. Zer­ti­fi­zie­rung und Ver­schlüs­se­lung ge­sche­hen hier in ei­nem. Die Zer­ti­fi­zie­rungs­stel­le muss al­so prü­fen, ob ein An­trag­stel­ler auch wirk­lich der le­gi­ti­me Be­sit­zer ei­ner Web­site ist. Die­se Über­prü­fung soll bei den Zer­ti­fi­zie­rungs­stel­len von Sy­man­tec wie­der­holt nicht gut ge­nug ge­we­sen sein. Sy­man­tecs wohl schlimms­ter Feh­ler war, dass sie ein Zer­ti­fi­kat für die Web­sei­te Goog­le.com an ei­nen Nicht-goog­le-mit­ar­bei­ter aus­ge­stellt ha­ben. Da­durch konn­te die­se Per­son im In­ter­net vortäuschen, Goog­le zu sein. Nach­dem der Feh­ler auf­ge­flo­gen war, ent­deck­te Goog­le ei­ge­nen An­ga­ben zu­fol­ge rund 30 000 Zer­ti­fi­ka­te von Sy­man­tec, die nicht den gel­ten­den Stan­dards der Zer­ti­fi­zie­rungs­bran­che ent­spra­chen. Aus dem dar­aus re­sul­tie­ren­den Streit zwi­schen Goog­le und Sy­man­tec

zo­gen die Ver­ant­wort­li­chen bei Sy­man­tec letz­tes Jahr die Kon­se­quen­zen und ver­kauf­ten ih­re Zer­ti­fi­zie­rungs­spar­te im De­zem­ber 2017 für rund 950 Mil­lio­nen Us-dol­lar an Di­gi­cert (www.di­gi­cert.com).

Üb­ri­gens: SSL und TLS sind bei­de Ver­schlüs­se­lungs­pro­to­kol­le. SSL steht für Se­cu­re So­cket Lay­ers und TLS für Trans­port Lay­er Se­cu­ri­ty. TLS ist der Nach­fol­ger von SSL, das heut­zu­ta­ge als un­si­cher gilt. Ak­tu­ell ist die Ver­si­on TLS 1.3. Vie­le An­wen­der und An­bie­ter spre­chen al­ler­dings im­mer noch von Ssl-ver­bin­dun­gen und -Zer­ti­fi­ka­ten, weil sich der Be­griff für ver­schlüs­sel­te Web­sei­ten ein­ge­bür­gert hat.

Goog­le Chro­me warnt vor vie­len ver­schlüs­sel­ten Web­sites

Seit dem ers­ten De­zem­ber gibt es al­so kei­ne neu­en Ssl-/tls-zer­ti­fi­ka­te von Sy­man­tec mehr. Es exis­tie­ren je­doch na­tür­lich noch vie­le Fir­men, die in den Mo­na­ten und Jah­ren zu­vor Zer­ti­fi­ka­te von Sy­man­tec für ih­re Web­sei­ten ge­kauft ha­ben. Vor die­sen Web­sites warnt Chro­me sei­ne Be­nut­zer nun (sie­he da­zu Ab­bil­dung oben) und weist dar­auf hin, dass An­grei­fer ge­ge­be­nen­falls Pass­wör­ter mit­schnei­den kön­nen. Be­trof­fen da­von sind je­doch nicht nur die 30 000 Zer­ti­fi­ka­te, bei de­nen Un­re­gel­mä­ßig­kei­ten fest­ge­stellt wur­den, son­dern al­le Sy­man­tec-zer­ti­fi­ka­te. Ab wann die War­nung an­ge­zeigt wird, hängt je­weils da­von ab, wann das Zer­ti­fi­kat aus­ge­stellt wur­de. Goog­le selbst macht hier­zu knap­pe An­ga­ben auf der fol­gen­den Web­sei­te: www.pcwelt.de/2m7srl. Der Do­main Re­gis­trar Epag hat den Sach­ver­halt auf sei­ner Web­site et­was über­sicht­li­cher er­klärt (www. pcwelt.de/sk0dk1). Ab Ok­to­ber 2018 soll Chro­me in sei­ner Ver­si­on 70 vor sämt­li­chen Sy­man­tec-zer­ti­fi­ka­ten war­nen.

Wie vie­le Web­sei­ten da­von dann noch be­trof­fen sind, lässt sich nicht sa­gen, denn die Be­trei­ber der Web­sites wur­den be­reits per Mail da­zu auf­ge­for­dert, sich ein neu­es Zer­ti­fi­kat aus­stel­len zu las­sen. Der Vor­gang ist für die Be­trei­ber kos­ten­los.

Für den An­wen­der stellt die War­nung al­ler­dings ein Pro­blem dar. Der Grund: Er kann nur schwer ent­schei­den, ob Chro­me vor der Web­sei­te warnt, weil das Zer­ti­fi­kat un­ter den ge­ne­rel­len Miss­trau­ens­vor­wurf fällt oder ob an­de­re Pro­ble­me vor­lie­gen. Zu­min­dest kön­nen Sie sich an­se­hen, ob ei­ne be­män­gel­te Web­sei­te ein Zer­ti­fi­kat von Sy­man­tec, Ve­ri­sign, Equi­fax, Geo Trust und Ra­pid SSL ent­hält und die­ses vor dem ers­ten De­zem­ber 2017 aus­ge­stellt wor­den ist. Dann könn­te die War­nung al­lein auf­grund des ge­ne­rel­len Miss­trau­ens er­schei­nen. Si­cher ist das aber nicht. Sie se­hen die er­for­der­li­chen De­tails, wenn Sie in Chro­me auf die Flä­che vor der We­b­adres­se kli­cken und dar­auf­hin „Zer­ti­fi­kat –› un­gül­tig –› De­tails –› Aus­stel­ler“wäh­len.

War­nun­gen er­schei­nen auch bei un­ver­schlüs­sel­ten Web­sites

Goog­le Chro­me wird in der Ver­si­on 68 vor­aus­sicht­lich ab Ju­ni auch vor un­ver­schlüs­sel­ten Web­sei­ten war­nen. Al­ler Vor­aus­sicht nach wird die War­nung aber nur aus den Wor­ten „Nicht si­cher“vor der We­b­adres­se im Brow­ser be­ste­hen. So warnt Chro­me be­reits ei­ni­ge Zeit vor Web­sei­ten oh­ne Ver­schlüs­se­lung, aber mit Log-in-fel­dern. Die­se War­nung soll den Druck auf Web­sei­ten­be­trei­ber er­hö­hen, ih­re Si­tes ver­schlüs­selt an­zu­bie­ten. Seit et­wa ei­nem Jahr sol­len un­ver­schlüs­sel­te Web­sei­ten au­ßer­dem schlech­ter bei der Such­ma­schi­ne von Goog­le ge­lis­tet wer­den. Auch dies übt auf die Web­sei­ten­be­trei­ber Druck aus, zu­min­dest wenn sie auf ei­ne gu­te Plat­zie­rung in den Goog­le-such­ergeb­nis­sen Wert le­gen. Grund­sätz­lich bie­ten ver­schlüs­sel­te Ver­bin­dun­gen zu Web­sei­ten ei­ni­ge Vor­tei­le für den Be­nut­zer. So ist bei­spiels­wei­se die Ge­fahr, dass Ha­cker ge­fähr­li­chen Co­de in die Web­sei­te ein­bau­en, ge­rin­ger als bei un­ver­schlüs­sel­ten Si­tes. Es gibt al­ler­dings auch Nach­tei­le. An­ti­vi­ren­soft­ware kann den Da­ten­strom nicht auf Schad­code über­prü­fen. Das geht erst, wenn der Co­de vom Brow­ser auf die Fest­plat­te ge­spei­chert wird. Bei den so­ge­nann­ten da­tei­lo­sen Vi­ren fin­det ei­ne sol­che Spei­che­rung je­doch gar nicht mehr statt. Die­ser Co­de wird di­rekt vom Brow­ser ak­ti­viert. Ei­ne An­ti­vi­ren­soft­ware hat es auf­grund des­sen schwer, da­tei­lo­se Vi­ren aus ei­ner ver­schlüs­sel­ten In­ter­net­ver­bin­dung zu blo­ckie­ren. Trotz die­ser so­wie wei­te­rer Nach­tei­le von ver­schlüs­sel­ten Ver­bin­dun­gen hält Goog­le an sei­ner Stra­te­gie fest.

Wei­te­re Feh­ler­mel­dun­gen bei Ssl-/tls-ver­bin­dun­gen

Ihr Brow­ser kon­trol­liert bei der Über­prü­fung ei­nes Zer­ti­fi­kats, ob er ein da­zu pas­sen­des Root-zer­ti­fi­kat ge­spei­chert hat. Zu­sätz­lich zu den zwei schon ge­nann­ten War­nun­gen kann aber auch sonst noch ei­ni­ges schief­ge­hen. In der Fol­ge kommt es zu ei­nem Zer­ti­fi­kats­feh­ler und der Brow­ser gibt ei­ne War­nung aus. Die Pws-group (www. psw-group.de), selbst An­bie­ter von Zer­ti­fi­ka­ten für Web­sei­ten, hat ei­ne Lis­te mit mög­li­chen Feh­ler­mel­dun­gen zu­sam­men­ge­stellt. Ser­ver­zer­ti­fi­kat ist ab­ge­lau­fen: Ein Ssl­ser­ver­zer­ti­fi­kat hat stets ei­ne be­stimm­te Lauf­zeit. In der Re­gel han­delt es sich da­bei um ei­nen Zei­t­raum von ein bis zwei Jah­ren. Die Zeit be­ginnt nor­ma­ler­wei­se, wenn sich ein Web­sei­ten­be­trei­ber das Zer­ti­fi­kat von ei­ner Zer­ti­fi­zie­rungs­stel­le ge­ben lässt. Steu­ern Sie als Be­su­cher ei­ne Web­site an, de­ren Zer­ti­fi­kat äl­ter als zwei Jah­re ist, be­kom­men Sie die ge­nann­te Feh­ler­mel­dung. Ins­be­son­de­re bei den Web­sei­ten von klei­ne­ren Fir­men kommt der Feh­ler schon mal vor, auch oh­ne dass die Ver­bin­dung des­we­gen un­si­cher sein muss. Der Ad­mi­nis­tra­tor hat es in die­sem Fall ganz ein­fach ver­säumt, recht­zei­tig ein neu­es Zer­ti­fi­kat zu be­sor­gen und ein­zu­bau­en. Auf der si­che­ren Sei­te sind Sie aber trotz­dem, wenn Sie ei­ne ent­spre­chend be­män­gel­te Web­site wie­der ver­las­sen.

Ser­ver­zer­ti­fi­kat wur­de von ei­ner un­be­kann­ten CA aus­ge­ge­ben: Ei­ne Zer­ti­fi­zie­rungs­stel­le (CA) muss an­er­kannt sein, um als ver­trau­ens­wür­dig zu gel­ten. Nur wenn die­se selbst ei­nen Pro­zess durch­lau­fen und Ver­trau­ens­wür­dig­keit be­wie­sen hat, wird sie in die Lis­ten ver­trau­ens­wür­di­ger Zer­ti­fi­zie­rungs­stel­len der gän­gi­gen In­ter­net-brow­ser auf­ge­nom­men. Wenn Ihr Brow­ser die CA be­män­gelt, ist die­se ent­we­der tat­säch­lich nicht ver­trau­ens­wür­dig oder ihr Root-zer­ti­fi­kat fehlt aus an­de­ren Grün­den im Spei­cher Ih­res Brow­sers. Sie soll­ten an die­ser Stel­le vor­sich­tig sein und die be­such­te Sei­te wie­der ver­las­sen. Im Grun­de ist das ein ähn­li­ches Pro­blem wie bei Goog­le und Sy­man­tec, nur dass Chro­me le­dig­lich ei­ne Stan­dard­war­nung vor der Ver­bin­dung aus­gibt.

Das Zer­ti­fi­kat für die­sen Ser­ver ist un­gül­tig: Die­ser Feh­ler kann auf­tre­ten, wenn das Zer­ti­fi­kat feh­ler­haft über­tra­gen wur­de. Es kann sich aber auch um ein ge­fälsch­tes oder ma­ni­pu­lier­tes Zer­ti­fi­kat han­deln. Es ist emp­feh­lens­wert, ei­ne Web­sei­te mit die­sem Feh­ler auf je­den Fall zu ver­las­sen.

So warnt der Brow­ser Chro­me, wenn es ei­nen Feh­ler bei ei­ner ver­schlüs­sel­ten Ver­bin­dung zu ei­ner Web­site gibt. Ei­ner der Grün­de kann ein Zer­ti­fi­kat von Sy­man­tec sein, das Chro­me seit Mai 2018 nicht mehr ak­zep­tiert.

Die­ses Zer­ti­fi­kat wur­de von der Fir­ma Co­mo­do aus­ge­stellt und be­legt, dass Sie mit der Web­site www.psw-group.de ver­bun­den sind.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.