Sie sind überall, Webseiten-Zertifikate. Dabei reden wir jedoch nicht von Zertifizierungen, sondern den Zertifikaten die dafür verantwortlich sind, dass in deinem Browser ein „https://“ möglich ist.

Dabei sprechen wir darüber warum es diese Zertifikate gibt, wie diese funktionieren und was man dafür braucht.
Doch Zertifikate sind nicht nur für das Internet wichtig, sondern können dir und deinem Home-Lab eine Stütze sein.

Denn: Zertifikate bringen Sicherheitsgewinne mit sich.

Der Grund für Zertifikate

Der Grund für diese Zertifikate (Certificates) ist, um mehr Sicherheit für alle zu gewährleisten. Das gilt sowohl für die eigenen internen Netzwerke, als auch oder sogar besonders für das Internet.

Denn woher weißt du, ob die Webseite die du da besuchst auch wirklich die Richtige ist?
Genau, du weißt es nicht, da sich jeder als jeder ausgeben könnte.

Hier kommen Zertifikate ins Spiel, welche die Identität eines Dienstes oder Webseite bestätigt.
Es geht also bei Certificates darum eine Möglichkeit zu schaffen, dass man verifizieren kann, damit z.B. die Webseite, die wie deine Bank aussieht, auch wirklich deine Bank ist.

Ebenfalls sind Zertifikate für Webdienste (Internetseiten) erforderlich, damit du eine verschlüsselte Verbindung zu diesen Webseiten aufbauen kannst.

So funktionieren Zertifikate

Das ganze Thema mit Certificates funktioniert vereinfacht gesagt wie folgt:
Jemand betreibt einen Dienst wie z.B. eine Webseite und möchte nun bestätigten lassen, dass der Dienst unter „deinerDomain.de“ erreichbar und vertrauenswürdig ist.

Hierzu muss der Betreiber des Dienstes ein Zertifikat erwerben, hierzu später mehr, welches von einem Dritten vergeben wird.
Dieser Dritte wiederum vergibt das Certificate nur, wenn der Nachweis erbracht wurde, dass einem dieser Dienst gehört.

Hierzu können verschiedene Methoden zum Einsatz kommen.
Doch viel wichtiger, DEINE Geräte vertrauen allen diesen Dritten.
Denn diese nennt man „Certificate authorities“ kurz CA.
Und hier gibt es noch sogenannte „Root Certificate authorities“, welche die „Stammstruktur“ bieten.

Diese Authorities werden nicht nur regelmäßig geprüft (auditiert), sondern haben auch einige Auflagen, die diese erfüllen müssen.
Der Grund ist, dass wenn ein dieser CA’s komprimentiert aká gehackt wird, entsteht ein massiver Schaden für alle.
Denn das Prinzip des Vertrauens wäre dadurch aufgebrochen.

Beispiel diese Webseite

Ein Beispiel hier ist meine eigene Webseite.
Wenn du dir das Zertifikat ansehen willst musst du lediglich auf das Schloss-Icon neben dem „https://“ klicken und dann erneut auf das Schloss-Icon drauf klicken. Dann erhältst du die Option das Zertifikat dir anzusehen. Anbei ein Screenshot wie dieser Weg aussehen kann:

Je nach Browser kann die Ansicht variieren, daher werde ich noch eine vereinfachte Ansicht beifügen:

Du siehst im Zertifizierungspfad, dass meine Webseite: dominikkleidt.de ganz unten ist.
Das liegt daran, dass ich die Echtheit der Seite verifizieren musste.
Hierzu habe ich mich der kostenlosen CA Let’s Encrypt bedient, welche Zweistufig aufgebaut ist.
Du siehst, dass über meinem Certificate ein R3 steht, das ist die R3 Certificate authority von Let’s Encrypt.
Diese nimmt meine Anfrage an und signiert mir meine Anfrage, sofern ich denn die Voraussetzungen erfülle.

Doch an sich vertrauen wir der R3 gar nicht, wir vertrauen der Certificate authority über der R3, nähmlich der ISRG Root X1, welche ebenfalls von Let’s Encrypt ist.
Bedeutet, wir vertrauen der ISRG Root X1, welche die R3 bereits als vertrauenswürdig eingestuft hat.
Das kann man sich vorstellen wie: du kennst die Person nicht, doch dein Freund kennt diese Person und „bürgt“ für diese.

Diese Darstellung ist natürlich vereinfacht betrachtet!

Du kannst Zertifikate selbst erzeugen

Ja, du kannst selbst Zertifikate erzeugen. Dabei kommt es darauf an, für welchen Verwendungszweck du diese verwenden möchtest.

Du kannst zum einen sogenannte „selbst signierte“ (engl- self-signed) Zertifikate erstellen, das kann für Testszenarien sehr bequem sein und erfordert wenig Aufwand.
Der Nachteil ist natürlich, dass du selbst eine Art Ausweis ausgestellt hast, ohne das z.B. das Bürgeramt die Echtheit bestätigt hat.
Bedeutet, du musst auf jedem Gerät dieses Zertifikat manuell auf „vertrauenswürdig“ (engl. trusted) setzen.
Wie gesagt in eigenen Umgebungen und vor allem zum testen reicht das aus!

Ebenfalls für den internen Einsatz kannst du eine eigene Certificate authority (CA) aufbauen.
Hierzu musst du einen Server betreiben (kann auch mini PC sein 😉 ), der die nötigen Tools und Rollen hat, um solche Zertifikate zu erstellen bzw. zu signieren.
Der Vorteil ist, dass du nur einem Zertifikat trauen musst, nämlich dem deiner eigenen CA.
Jedoch kann dies beim Einsatz mit extern zu Problemen führen, da nicht jeder eine „unbekannte externe“ Certificate authority auf vertrauenswürdig stellen möchte.
Das kann beim Thema Mail Verschlüsslung schonmal ärgerlich sein.

Nicht direkt selbst erzeugt jedoch kostenlos und für jeden mit eigener Domain nutzbar ist Let’s Encrypt.
Hier werden einem sogar einige Tools wie der certbot an die Hand gegeben um den Prozess so einfach und angenehm wie möglich zu machen.
Und das Beste, man kann seine Zertifikate automatisch verlängern lassen.

The post Alles, was du über Webseiten-Zertifikate und Online-Sicherheit wissen musst first appeared on Dominik's Blog.