Bequemer als Backup Bequemer als Backup - Wuala
Bequemer als Backup Bequemer als Backup - Wuala
Bequemer als Backup Bequemer als Backup - Wuala
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Report | Verschlüsselung bei Firefox 3<br />
Jürgen Schmidt<br />
Firefox und<br />
die Zertifikate<br />
Richtig verschlüsseln mit Firefox 3<br />
Verschlüsselung und Zertifikate sind die Grundlage für<br />
sichere Datenübertragung im Internet. Bei Firefox 3 hat das<br />
Mozilla-Team den Umgang mit Zertifikaten überarbeitet,<br />
leider nicht immer zum Besseren. Doch ein paar Handgriffe<br />
schaffen mehr Komfort und letztlich auch mehr Sicherheit.<br />
Normalerweise geht im<br />
Web erst mal alles im<br />
Klartext über die Leitung<br />
– auch wenn es sich dabei um<br />
kritische Informationen wie Passwörter<br />
oder Kontodaten handelt.<br />
Will man ungewollte Mitleser<br />
aussperren, müssen die<br />
übertragenen Daten verschlüsselt<br />
werden. Im Web erkennt<br />
man den Einsatz von Verschlüsselung<br />
daran, dass die URL in der<br />
Adressleiste mit „https" („s“ wie<br />
sicher) statt „http" beginnt.<br />
Dabei muss man allerdings<br />
ganz sicher sein, dass sich am anderen<br />
Ende der Leitung tatsächlich<br />
der richtige Empfänger befindet.<br />
Die beste 256-Bit-AES-Verschlüsselung<br />
nutzt nichts, wenn<br />
dort der Angreifer sitzt und man<br />
ihm den Schlüssel somit frei Haus<br />
liefert. Deshalb lassen sich Betreiber<br />
eines Servers ihre Identität<br />
von einer vertrauenswürdigen<br />
Zertifizierungsstelle (CA) bestätigen.<br />
Deren digitale Unterschrift<br />
kann der Browser überprüfen<br />
und dann dem Anwender signalisieren,<br />
dass er sich auf der richtigen<br />
Website befindet.<br />
Bis Version 2 tat Firefox dies,<br />
indem er die komplette Adresszeile<br />
gelb einfärbte und mit<br />
einem Schloss versah. Wenn man<br />
das einmal wusste, war es kaum<br />
zu übersehen und das Fehlen von<br />
Gelb und Schloss war ein deutliches<br />
Signal für fehlende Verschlüsselung.<br />
Seit Version 3 konzentriert<br />
sich Mozilla – wie im<br />
Standardmäßig hebt Firefox 3<br />
nur noch die teuren EV-Zertifikate<br />
deutlich hervor. Die Kennzeichnung<br />
von herkömmlichen<br />
SSL-Zertifikaten lässt sich<br />
leicht nachahmen.<br />
Übrigen auch Microsoft mit Internet<br />
Explorer 7 – auf die sogenannten<br />
Extended Validation (EV)<br />
Zertifikate. Bei denen versprechen<br />
die Zertifizierungsstellen,<br />
die Identität des Antragstellers<br />
genauer zu prüfen; technisch<br />
unterscheiden sich EV-SSL-Zertifikate<br />
jedoch nicht von herkömmlichen<br />
SSL-Zertifikaten. Da EV-<br />
Zertifikate recht teuer sind, konnten<br />
sie sich außer bei Banken bislang<br />
nicht durchsetzen. Anfang<br />
2008 zählte Netcraft nur etwas<br />
über 4000 weltweit. Von den<br />
über 800ˇ000 gültigen, <strong>als</strong>o von<br />
Standard-CAs unterschriebenen,<br />
normalen SSL-Zertifikaten sind<br />
das gerade mal 0,5 Prozent.<br />
Die normalen SSL-Zertifikate<br />
kommen somit nach wie vor<br />
beim Gros der Online-Shops zum<br />
Einsatz, bei denen man persönliche<br />
Daten, Kreditkarteninformationen<br />
und Ähnliches eingeben<br />
muss. Trotzdem behandelt Firefox<br />
sie mittlerweile sehr stiefmütterlich.<br />
Das beginnt damit, dass<br />
das Schloss in der Adresszeile<br />
und deren Färbung entfallen.<br />
Was bleibt, ist ein kleiner blauer<br />
Rahmen um das Favicon der<br />
Seite, der sich mit einem gut gemachten<br />
Favicon so nachahmen<br />
lässt, dass die Täuschung zumindest<br />
nicht ins Auge springt.<br />
Es geht weiter mit den sehr<br />
unglücklich gewählten Formulierungen<br />
in den weiterführenden<br />
Informationen zu https-<br />
Sites, die den erweiterten Obulus<br />
an Verisign & Co verweigert<br />
haben. Dort findet der misstrauische<br />
Anwender die widersprüchlichen<br />
Angaben: „Diese Website<br />
bietet keine Informationen an,<br />
um ihre Identität zu bestätigen“<br />
und etwas weiter unten „Diese<br />
Website bietet ein Zertifikat an,<br />
um ihre Identität zu bestätigen“.<br />
Vertrauen vermittelt dieses Hin<br />
und Her nicht. Nützlicher sind da<br />
schon die ebenfalls hinzugekommenen<br />
Informationen, ob<br />
und wie oft man die Seite bereits<br />
besucht hat.<br />
Zumindest die Darstellung<br />
von SSL-URLs kann man unter<br />
der Pseudo-URL „about:config“<br />
ändern, wovor Firefox allerdings<br />
mit einem „Hier endet möglicherweise<br />
die Gewährleistung!“<br />
warnt. Nach dem eingeforderten<br />
Versprechen, vorsichtig zu sein,<br />
führt die Eingabe von „identity“<br />
im Suchfeld zur Einstellung browser.identity.ssl_domain_display,<br />
deren<br />
Wert man von 0 auf 1 setzt.<br />
Damit gleicht Firefox die Adresszeile<br />
von https-Sites der von EV-<br />
SSL-Sites an, verwendet aber die<br />
Farbe Blau statt Grün. Die Verwechslungsgefahr<br />
mit ungesicherten<br />
Seiten ist damit minimal.<br />
Selbstgestricktes<br />
Noch schlimmer <strong>als</strong> die Sites mit<br />
herkömmlichen SSL-Zertifikaten<br />
trifft es die Betreiber von Servern,<br />
die kein Geld ausgeben<br />
und sich ihr Zertifikat von einer<br />
Community-basierten Zertifizierungsstelle<br />
wie CAcert unterschreiben<br />
lassen oder das einfach<br />
selber tun. Deren Besucher<br />
bekommen mit Firefox 3 nämlich<br />
statt einer Warnung, die<br />
man wegklicken kann, eine Fehlerseite<br />
mit der Überschrift „Sichere<br />
Verbindung fehlgeschlagen“.<br />
Den Versuch, eine Ausnahme<br />
zu definieren, quittiert der<br />
Browser zunächst mit dem Hinweis,<br />
dass man das besser sein<br />
lassen sollte. Damit dürfte ein<br />
Großteil der potenziellen Besucher<br />
abgewimmelt sein.<br />
Nur wer hartnäckig darauf<br />
beharrt, eine Ausnahme hinzufügen<br />
zu wollen, landet beim<br />
nächsten Dialog, wo man das<br />
Zertifikat laden kann. Doch ausgerechnet<br />
hier bleiben die sicherheitsbewussten<br />
Entwickler<br />
auf halbem Weg stehen und versäumen<br />
es, darauf hinzuweisen,<br />
dass man den Fingerabdruck des<br />
Schlüssels überprüfen muss, um<br />
sich Gewissheit über dessen<br />
Echtheit zu verschaffen. Dummerweise<br />
blockiert die Zertifikatsansicht<br />
dann auch noch das<br />
Browser-Fenster, sodass man<br />
sich nicht einmal im Web weitere<br />
Informationen zu den dargestellten<br />
Rohdaten verschaffen<br />
kann. Und obwohl die meisten<br />
Ausnahmen wohl eher „nur mal<br />
eben schnell …“ angelegt werden,<br />
speichert sie Firefox standardmäßig<br />
gleich dauerhaft ab.<br />
Ausnahmsweise<br />
Insbesondere im universitären<br />
Umfeld wird viel mit selbst signierten<br />
Zertifikaten gearbeitet,<br />
162 c’t 2008, Heft 20<br />
©<br />
Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags.