Sicherheitsrisiko Digitales Zertifikat
(Kein) Vertrauen in digitale Zertifikate
Eine weitere Sicherheitslücke kann die unzureichende Stärke der Verschlüsselung sein, Schwachstellen im Verschlüsselungsverfahren. Man denke nur an die "Heartbleed"-Schwachstelle, von der zahlreiche SSL-Zertifikate betroffen waren und leider immer noch sind. Ebenfalls problematisch ist die Datensicherheit bei der CA (Certificate Authority) selbst. So sind die Sicherheitsprobleme bei der Zertifizierungsstelle DigiNotar kein Einzelfall, Zertifizierungsstellen sind sehr lohnende Angriffsziele für Hacker.
"Man muss leider sagen, dass das aktuelle System der digitalen Zertifikate recht kompliziert, verwirrend und kontrovers ist. Digitale Zertifikate, ihre Signaturen und die Zertifikatsfirmen, die für sie bürgen, bilden die Grundlagen für Online-Vertrauen und Online-Authentifizierung. Ironischerweise weiß jeder in der IT-Branche, dass das aktuelle Zertifikats- und Signatursystem hoffnungslos kaputt und äußerst unzuverlässig ist", so Brian Donohue im Blog von Kaspersky Lab.
Das Problem ist nur, dass viele Anwenderunternehmen und IT-Nutzer dieses Wissen der IT-Branche nicht haben und deshalb auf die Risiken hingewiesen werden müssen.
Nutzer müssen digitale Zertifikate selbst validieren
Eine große Hilfe für die Nutzer sind die Webbrowser, die vor Zertifikatsproblemen warnen. Gewarnt wird zum Beispiel vor ungültigen, abgelaufenen Zertifikaten, vor unbekannten Zertifizierungsstellen und Aussteller-Zertifikaten, vor selbst erstellten Zertifikaten oder vor Fehlern in der Seriennummer der Zertifikate. Die Nutzer können die Warnungen allerdings umgehen oder sogar die Warnhinweise des Browsers ganz abschalten.
Praktisch sind Testwerkzeuge für digitale Zertifikate wie der SSL Server Test von Qualys. Dabei werden zahlreiche Kriterien bei den digitalen Zertifikaten automatisch abgeprüft, die Sicherheit der Verbindung und die Güte des Zertifikates werden bewertet. Dank Analyse-APIs sowie einem kostenlosen Open-Source-Tool können Unternehmen auch Massentests durchführen, also ein automatisiertes Testen von Websites und den Zertifikaten vornehmen.
Die sogenannten Extended Validation Zertifikate (EV-Zertifikate) zeigen Nutzern zudem, dass die jeweilige Zertifizierungsstelle strengere Kriterien bei der Vergabe von digitalen Zertifikaten beachtet, als dies bei normalen Zertifikaten angenommen werden kann. In einer Studie von Netcraft aus Januar 2015 lag die Zahl der EV-Zertifikate allerdings noch unter fünf Prozent bei den untersuchten Zertifikaten. Es gibt also noch einiges zu tun an der Sicherheit digitaler Zertifikate, damit diese auf breiter Basis zu einem zuverlässigen Sicherheitsfaktor werden.