SSL-Zertifikate: Was, wie und wofür?

Im World Wide Web können wir shoppen, Bankgeschäfte oder auch Behördengänge manchmal mehr, manchmal weniger bequem erledigen. Nur gibt es zwei wesentliche Risiken: Zum einen agiert man im Web anonym. Zum anderen kann der Datenverkehr abgehört werden. Diese beiden Risiken werden mithilfe des SSL-Zertifikats gemindert: Der Geschäftspartner wird identifiziert und die gesendeten Daten (Bytes) werden verschlüsselt. SSL kürzt „Secure Sockets Layer“ ab und kann mit „sichere Verbindungsebene“ übersetzt werden. SSL-Zertifikate werden für eine Laufzeit von einem Jahr ausgestellt und verschlüsseln in erster Linie den Datenstrom auf Webseiten, finden aber auch im E-Mail-Verkehr Anwendung.

Funktionsweise und Anwendung von SSL-Zertifikaten

Bei der re:publica 2013 war die Rede vom „schizophrenen Konsumenten“: Susanne Dehmel vom Branchenverband Bitkom erklärte in ihrem Vortrag über Datenschutz, dass selbiger zwar oft eingefordert werde, dass Verbraucher aber Services, die schwarze Schafe entlarven könnten, kaum nutzen würden. Es scheint, als sei der Anwender doch oft der Meinung, er habe nichts zu verbergen. Aber switchen wir doch mal aufs Reallife um: Würden Sie sich gerne beim Anprobieren Ihrer Kleidung in die Kabine schauen lassen? Oder beim Abheben von Bargeld über die Schulter? Es geht um Vertraulichkeit, die im „normalen“ Leben ganz selbstverständlich ist. Ahnungslose Bankkunden werden mit erschreckender Regelmäßigkeit von organisierten Betrügern dazu gebracht, ihre Online-Banking-Daten inklusive TANs und PINs auf gefälschten Webseiten anzugeben. Wireless-LAN, also Drahtlos-Netzwerke, legen offen, was gesendet wird – unverschlüsselt werden Funksignale ungefähr offen ausgesendet wie Rundfunksendungen im Radio. Das lädt Kriminelle geradezu ein, die Identität zu rauben.

Mit dem „HyperText Transfer Protocol Secure“ (HTTPS) wurde im Jahre 1994 der erste Schritt in Richtung Datensicherheit unternommen. Die zu übermittelnden Daten werden dank HTTPS auf 128- oder 256-Bit-Stufe verschlüsselt, ohne dass es zusätzliche Software auf dem Rechner braucht. Weiter prüft HTTPS, ob die Identität des Partners stimmt. Phishingattacken durchs Weiterleiten auf manipulierte Webseiten werden durch diese Art der Authentifizierung wesentlich erschwert. Gerade Geldinstitute arbeiten über HTTPS-Server. Viele Shops allerdings überlassen es letztlich dem Anwender, ob er das verschlüsselte HTTPS oder das unverschlüsselte HTTP nutzt.

SSL kommt bei der Verbindung via HTTPS-Server zum Einsatz. Werden die technischen Details vereinfacht, arbeitet SSL so: Eine zweite Verbindung („SSL Record Protocol“) schiebt sich über die bestehende Leitung. Es handelt sich um ein reines Aufzeichnungsprotokoll, das die Verschlüsselung zwischen zwei Rechnern regelt und gleichzeitig überprüft, ob die Daten, die auf der Anwenderseite eingegeben wurden, genau so auf der Anbieterseite ausgegeben werden. Aus den gesendeten Daten werden in regelmäßigen Abständen Prüfziffern errechnet und angefügt. Dieser Wert wird an beiden Enden einer Verbindung wieder abgeglichen.

Bevor aber die Daten ausgetauscht werden, sorgt das „SSL Handshake Protocol“ für die Übermittlung persönlicher Identifikationsdaten von den Teilnehmern. Es handelt weiter das Fragmentierung- und das Verschlüsselungsverfahren aus, welches bei der Verbindung Anwendung finden soll. Oder einfacher ausgedrückt: Die beiden beteiligten Rechner einigen sich auf einen Code und auf eine einheitliche Größe für die zu übermittelnden Datenpakete. Jetzt fließen codierte Informationshäppchen durch den Äther von symmetrischen Algorithmen: Der Empfangsrechner decodiert, setzt zusammen und macht die Informationen für den User lesbar.

Das SSL-Zertifikat tritt während des „Handshakes“ in Erscheinung: Der digitale Personalausweis wird von einer Zertifizierungsstelle (Certificate Authority, CA) ausgegeben und durch einen öffentlich zugänglichen Signaturprüfschlüssel einer Person oder einer Organisation zugeordnet. Die Zertifizierungsstelle beglaubigt diese Zuordnung dadurch, dass sie das Zertifikat mit ihrer eigenen digitalen Unterschrift absegnet. Wird also ein bestimmter Code verwendet, kann durch die Zusammensetzung des Codes eindeutig hergeleitet und bestätigt werden, wer diesen Code nutzt.

Weiterführende Informationen

Hierzulande regelt das Signaturgesetz (SigG, hier als PDF) aus dem Jahre 2001 sämtliche Fragen zu SSL-Zertifikaten und digitalen Unterschriften. Anwender und Unternehmen, die sich tiefgehend mit der Materie auseinandersetzen wollen, finden bei Symantec einen interaktiven Starter-Guide: Neben der Frage, was SSL-Zertifikate sind, wird die Geschichte erläutert, die Frage, wie Sie ein Zertifikat bekommen, wer Sie sind und Best Practice-Beispiele zeigen, wie es funktioniert. Eine Übersicht über verschiedene SSL-Zertifikate und ihre jeweiligen Eigenschaften sowie Preise finden Sie zudem auf unserer Webseite.

Haben Sie Ergänzungen oder Fragen zum Thema? Dann nutzen Sie die Kommentarfunktion oder treten Sie mit uns in Kontakt.