Festgenagelte Zertifikate

TLS wird sicherer durch Certificate Pinning

Wissen | Know-how

Ein noch recht neuer Standard tritt an, die Online-Welt ein Stück sicherer zu machen. Zwei der drei großen Browser unterstützen das Pinning von Zertifikaten bereits. Und die ersten heimlichen Lauscher hat es auch schon auffliegen lassen.

Transport-Verschlüsselung, also Transport Layer Security (TLS) ist das vielleicht wichtigste Sicherheitskonzept des Internet. Es spendiert dem leicht zu belauschenden HTTP des World Wide Web das für Sicherheit stehende „S“. Über abhörsicheres HTTPS können Anwender unter anderem sicheres Online-Banking und Bezahlvorgänge abwickeln.

Immer mehr Websites bieten ihre Dienste zumindest optional via HTTPS an; wer was auf sich hält, steigt sogar ganz um und verzichtet auf das unsichere HTTP. So kommunizieren Anwender mit vielen Banken-Seiten, Shops oder auch mit ihrem Webmail-Dienst nur noch über gesicherte HTTPS-Verbindungen. Doch die TLS-Verschlüsselung hat ein grundsätzliches Design-Problem, das angesichts der offengelegten Dauer-Überwachung durch Geheimdienste immer bedrohlicher wirkt.

Die Sicherheit einer TLS-Verbindung beruht darauf, dass man auch tatsächlich mit der richtigen Gegenstelle verbunden ist. Das garantieren sogenannte Zertifizierungsstellen (Certification Authorites, CAs), die die Identität eines Dienstbetreibers prüfen und dann mit ihrer digitalen Unterschrift beglaubigen. Das Problem dabei: Es gibt weit über hundert solcher Zertifizierungsstellen, denen die gängigen Internet-Programme wie Browser und E-Mail-Client vertrauen. Als wäre das nicht unübersichtlich genug, haben die dann auch noch zahllose Unter-CAs, die berechtigt und in der Lage sind, im Namen dieser CAs zu unterschreiben.

Diese Prokura ist völlig unbeschränkt. So kann TürkTrust gültige Zertifikate auf den Namen der Deutschen Bank ausstellen und die chinesische Zertifizierungsstelle CNNIC kann Zertifikate beglaubigen, die angeblich Google gehören. Damit könnte sich ein zentral positioniertes Überwachungssystem als Google-Server ausgeben und den Anwendern etwa bei der Nutzung von GMail über die Schulter schauen, indem es sich dazu als sogenannter „Man in the Middle“ in die Verbindung einklinkt. ...

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

Kommentare

Anzeige
Anzeige