Was sind Zertifikate?

13 Fragen und Antworten zu Zertifikaten

von - 05.06.2012

Was ist eigentlich ein Zertifikat

Zertifikats-Check: Ein Klick auf das grüne Feld oben in der Adressleiste öffnet ein Fenster mit Informationen über das Zertifikat der Postbank (Bild 1).
Zertifikats-Check: Ein Klick auf das grüne Feld oben in der Adressleiste öffnet ein Fenster mit Informationen über das Zertifikat der Postbank
Ein digitales Zertifikat entspricht einer schriftlichen Beglaubigung: Das Zertifikat bestätigt, dass die Identität einer Person oder eines Unternehmens durch eine Kontrollinstanz überprüft wurde.
Wenn Sie zum Beispiel die Internetpräsenz der Postbank besuchen und dort auf „Online-Banking“ klicken, zeigt Firefox mit einem grünen Feld neben der Adressleiste an, dass für diese Verbindung ein geprüftes Zertifikat existiert. 

Wer stellt Zertifikate aus?

Im obigen Beispiel wurde das Zertifikat der Postbank von Verisign ausgestellt, wie man in Bild A hinter „Verifiziert von“ sieht. Die Firma ist ein Tochterunternehmen von Symantec und einer der größten und bekanntesten Aussteller von Zertifikaten im Internet . Verisign ist eine private Firma, die mit anderen Unternehmen konkurriert. So bekommt man in Deutschland Zertifikate beispielsweise auch von TC Trustcenter und Geotrust. Beide Firmen gehören ebenfalls zu Symantec. Ein unabhängiger Anbieter von Zertifikaten ist PWS Group. Wer seine Identität beglaubigt haben will, geht zu einem dieser Unternehmen und muss sich einem Prüfverfahren unterziehen. Das kostet für ein einfaches Zertifikat ab etwa 50 Euro im Jahr. Aufwendiger geprüfte Zertifikate, wie sie Banken in der Regel verwenden, kosten jährlich mehrere Hundert Euro.

Wofür ist das wichtig?

Verisign: Das private Unternehmen ist einer der größten Aussteller von Zertifikaten (Bild 2).
Verisign: Das private Unternehmen ist einer der größten Aussteller von Zertifikaten
Das Zertifikat belegt, um beim Postbank-Beispiel zu bleiben, dass es sich wirklich um die echte Webseite der Bank handelt. Außerdem wird das Zertifikat benötigt, um die Datenverbindung zwischen den Servern der Postbank und Ihrem PC abzusichern.

Woher weiß Firefox, dass das Zertifikat echt ist?

Der Browser erkennt, dass das Zertifikat der Postbank echt ist, weil es von Verisign geprüft und unterschrieben wurde. Das System funktioniert ähnlich wie das Verschlüsselungsverfahren von PGP (Pretty Good Privacy). Dort wird ein Schlüssel als vertrauenswürdig eingestuft, wenn ihn mindestens eine andere vertrauenswürdige Person unterschrieben hat. 

Warum vertraut Firefox Verisign?

Zertifikat-Manager: Firefox enthält bereits viele Stammzertifikate. Ein Zertifikat wie das der Postbank, das mit dem Stammzertifikat von Verisign unterschrieben wurde, gilt deshalb als vertrauenswürdig (Bild 3).
Zertifikat-Manager: Firefox enthält bereits viele Stammzertifikate. Ein Zertifikat wie das der Postbank, das mit dem Stammzertifikat von Verisign unterschrieben wurde, gilt deshalb als vertrauenswürdig
Firefox bringt bereits eine große Zahl vorinstallierter Stammzertifikate mit, eines davon ist das von Verisign. Alle Zertifikate, die mit dem Stammzertifikat von Verisign unterschrieben sind, stuft der Browser ebenfalls als vertrauenswürdig ein. 

Kann ich eine Website ohne beglaubigtes Zertifikat besuchen?

Wurde das Zertifikat einer Website von niemandem unterschrieben oder gibt es kein im Browser gespeichertes Stammzertifikat, dann vertraut Firefox der Verbindung nicht. Das heißt aber nicht automatisch, dass es sich dabei um eine gefährliche Seite handelt, die Sie nicht besuchen sollten. Bankgeschäfte sollten Sie auf dieser Website zwar nicht abwickeln, aber wenn es zum Beispiel um ein soziales Netzwerk geht, können Sie die Verbindung auf eigenes Risiko herstellen.
Warnung: Wurde ein Zertifikat von keiner bekannten Zertifizierungsstelle unterschrieben, warnt der Browser vor dem Besuch der Seite (Bild 4).
Warnung: Wurde ein Zertifikat von keiner bekannten Zertifizierungsstelle unterschrieben, warnt der Browser vor dem Besuch der Seite
Klicken Sie auf „Ich kenne das Risiko“ sowie auf „Ausnahmen hinzufügen…“, um das Zertifikat herunterzuladen und im Browser zu installieren, so dass Sie die Seite aufrufen können. Bestätigen Sie das Zertifikat nun mit „Sicherheits-Ausnahmeregel bestätigen“. Je nach gewünschter Webseite sollten Sie vorher aber auf „Ansehen“ klicken und dann unter „Details“ unter anderem den Punkt „Aussteller“ prüfen.

Woran erkenne ich ein vertrauenswürdiges Zertifikat?

Sie erkennen ein geprüftes Zertifikat in Firefox an dem grünen Feld neben der Adressleiste. Außerdem beginnt die Webadresse einer zertifizierten Webseite mit „https://“ und nicht mit „http://“.

Was bedeutet „https://“?

Die Abkürzung HTTPS steht für Hypertext Transfer Protocol Secure. HTTPS bedeutet, dass die zwischen dem Browser und dem Server Ihrer Bank gesendeten Daten verschlüsselt übertragen werden.
Die Verschlüsselung der Daten erfolgt mit SSL (Secure Sockets Layer). Bei diesem symmetrischen Verfahren verwenden beide Kommunikationspartner denselben Schlüssel. Dieser Schlüssel darf natürlich nicht in die falschen Hände fallen. Damit dies nicht geschieht, wird zuerst ein asymmetrisches Verfahren eingesetzt. In dem Zertifikat Ihrer Bank ist der öffentliche Schlüssel der Bank enthalten. Der dazugehörige private Schlüssel ist geheim und befindet sich nur im Besitz der Bank.
Der Browser auf Ihrem Computer erstellt einen symmetrischen Schlüssel und verschlüsselt ihn mit dem öffentlichen Schlüssel der Bank. Anschließend kann ihn nur noch die Bank mit ihrem privaten Schlüssel entschlüsseln. Das funktioniert wie bei PGP. Der Browser sendet das verschlüsselte Paket an die Bank, wo es entpackt wird. Anschließend haben sowohl Ihr Browser als auch die Bank denselben symmetrischen Schlüssel, der für die weitere Kommunikation verwendet wird.
Sobald Sie sich aus Ihrem Online-Konto ausloggen oder wenn die Sitzung abgelaufen ist, verfällt dieser Schlüssel. Beim nächsten Besuch der Online-Banking-Seiten erstellt der Browser wieder einen neuen geheimen Schlüssel, der dann für die aktuelle Sitzung eingesetzt wird. 

Kann ich mir so ein Zertifikat ansehen?

So geht’s: Zertifikate prüfen 
Die Grafik zeigt, auf welche Punkte Sie achten sollten, wenn Sie sich ein Zertifikat ansehen. Für welche Webadresse gilt es? Wer hat es unterschrieben und welche Verschlüsselung setzt die Seite ein? (Bild 5).
So geht's: Die Grafik zeigt, auf welche Punkte Sie achten sollten, wenn Sie sich ein Zertifikat ansehen
Das geht leicht. Besuchen Sie dazu die mit HTTPS gesicherte Online-Banking-Seite Ihrer Bank und klicken Sie auf das grüne Feld neben der Adressleiste. Sie sehen nun eine Übersicht über das Zertifikat.
Klicken Sie auf „Weitere Informationen…“, um zusätzliche Details aufzurufen. Unter „Website-Identität“ sehen Sie wieder die allgemeinen Informationen zu dem verwendeten Zertifikat.
Bei „Datenschutz&Chronik“ zeigt Firefox darüber hinaus an, wie oft Sie diese Webseite schon besucht haben. Darüber hinaus sehen Sie, ob Cookies abspeichert und ob Passwörter im Browser hinterlegt sind.
Welche Verschlüsselung für die übertragenen Daten zwischen dem Server der Bank und Ihrem Browser eingesetzt wird, sehen Sie bei „Technische Details“. Die Postbank beispielsweise verwendet AES (Advanced Encryption Standard) mit einem 256 Bit langen Schlüssel.
Klicken Sie auf „Berechtigungen“, um selbst festzulegen, was die besuchte Seite darf und was nicht. So haben Sie hier etwa die Möglichkeit, das Häkchen vor „Auf aktuellen Ort zugreifen“ zu entfernen. Der Browser sendet dann keine Standortinformationen mehr. „Medien“ zeigt, aus welchen Bild- und Textdateien die Webseite Ihrer Bank besteht, während Sie unter „Allgemein“ noch einmal eine knappe Zusammenfassung über das Zertifikat finden.
Die ausführlichsten Infos erhalten Sie nach einem Klick auf „Zertifikat anzeigen“. An dieser Stelle steht dann unter anderem auch, um welche Zertifikatsklasse es sich handelt. Die Postbank verwendet — wie praktisch alle Banken — ein Zertifikat mit der Bezeichnung Class 3 Extended Validation.

Was bedeutet Class 3 Extended Validation?

Zertifikate sind, je nachdem mit wie viel Aufwand sie bei der Erstellung überprüft wurden, in mehrere Klassen eingeteilt. Class 0, also die niedrigste Klasse, wird nur für Testzertifikate vergeben oder wenn sich jemand selbst ein Zertifikat ausstellt.
Zertifikate nach Class 1 heißen auch Domain Validated. Hier prüfen die Zertifikatsanbieter mit einer Bestätigungs-Mail, ob der Antragsteller Zugriff auf zum Beispiel webmaster@adresse.de hat. Das ist ein simpler Existenz-Check.
Class-2-Zertifikate sind Organisation Validated. Hier prüfen Aussteller wie Verisign, ob die Firma wirklich existiert. Dazu ist eine schriftliche Bestätigung notwendig. Zertifikate dieser Klasse werden in der Praxis aber kaum verwendet.
Am weitesten verbreitet sind Zertifikate nach Class 3 mit Extended Validation. Banken beispielsweise verwenden nur Class-3-Zertifikate. Hier wird etwa ein Handelsregisterauszug, ein Gewerbenachweis oder bei Privatpersonen der Personalausweis geprüft. Dies wird mit den Besitzerdaten zur Domain verglichen.

Woran erkenne ich ein Class-1-Zertifikat?

Zertifikat der Klasse 1: Firefox markiert ein Class-1-Zertifikat mit einem blauen Feld (Bild 6).
Zertifikat der Klasse 1: Firefox markiert ein Class-1-Zertifikat mit einem blauen Feld
Zertifikate nach Class 1 markiert Firefox mit einem blauen Feld neben der Adressleiste. Zum Beispiel verwendet GMX unter gmx.net ein Class-1-Zertifikat.

Kann ich Zertifikate in Firefox nur über das grüne oder blaue Feld aufrufen?

Nein, es gibt auch eine zentrale Zertifikatsverwaltung in Firefox. Klicken Sie dazu auf „Firefox, Einstellungen, Einstellungen“. Wählen Sie „Erweitert“ und dann „Verschlüsselung“ aus. Ein Klick auf „Zertifikate anzeigen“ öffnet den „Zertifikat-Manager“.
Der wichtigste Reiter ist „Zertifizierungsstellen“. Hier listet der Browser alle Unternehmen auf, deren Stammzertifikate er gespeichert hat. Details zu den gespeicherten Zertifikaten erhalten Sie per Doppelklick auf einen Eintrag. Es ist jedoch nicht möglich, auf einen Blick zu erfahren, ob Firefox das Zertifikat für vertrauenswürdig hält oder nicht.
Zertifikat-Manager von Windows: Nicht mehr sichere Zertifikate sammelt Windows im Zertifikate-Manager unter „Nicht vertrauenswürdige Herausgeber“ (Bild 7).
Zertifikat-Manager von Windows: Nicht mehr sichere Zertifikate sammelt Windows im Zertifikate-Manager unter „Nicht vertrauenswürdige Herausgeber“
Dazu müssen Sie erst ein Zertifikat auswählen und dann auf „Vertrauen bearbeiten…“ klicken. Bei „DigiNotar Root CA“ sehen Sie beispielsweise, dass die Mozilla-Entwickler diesem Stammzertifikat das Vertrauen entzogen haben. Das liegt daran, dass ein Angreifer im Juli 2011 die Server von Diginotar gehackt und gefälschte Zertifikate ausgestellt hatte. Microsoft hat das besser gelöst. Die Zertifikatsverwaltung von Windows, die auch der Internet Explorer nutzt, zeigt nicht mehr vertrauenswürdige Zertifikate übersichtlich an. 

Wo finde ich die von Windows verwalteten Zertifikate?

Um die Zertifikatsverwaltung von Windows zu öffnen, rufen Sie „Start, Systemsteuerung, Netzwerk und Internet“ auf und klicken dann auf „Internetoptionen“. Wechseln Sie zum Reiter „Inhalte“ und klicken Sie auf „Zertifikate“.
In Windows hinterlegte Stammzertifikate sehen Sie unter „Vertrauenswürdige Stammzertifizierungsstellen“. Klicken Sie rechts daneben auf das nach rechts zeigende Dreieck, bis Sie zu „Nicht vertrauenswürdige Herausgeber“ kommen. Hier stehen alle Stammzertifikate, die nicht vertrauenswürdig sind. Dazu gehören auch die inzwischen gesperrten Zertifikate von Diginotar.
Verwandte Themen