https und Zertifikate
Zertifikate werden im Internet für den sicheren Aufruf von https-Webseiten verwendet. Die Übertragung der Webseite wird dazu mithilfe von Zertifikaten verschlüsselt. Die Zertifikate werden auf die jeweilige Internetadresse ausgestellt um sicher zu stellen, dass es sich um den richtigen Webserver handelt.
Ist jede https-Seite sicher und vertrauenswürdig?
Zertifikate stellen sicher, dass die Übertragung von Daten zu und von einer https- Webseite verschlüsselt ist und dass es sich um die in der Adresszeile aufgerufenen Webseite handelt. Da Zertifizierungsstellen beliebige Adressen ausstellen können, ist es um so wichtiger, dass der Client nur wirklich vertrauenswürdige Zertifierungsstellen anerkennt. Das Konzept steht und fällt also mit der Vertrauenswürdigkeit der Zertifizierungsstellen. Die Zertifizierungsstellen haben zwar ein Interesse daran nur Webseiten ohne Schadcode und Malware zuzulassen, https ist aber in keinster Weise eine Garantie dafür. In jüngster Vergangenheit gibt es zudem immer mehr Anbieter die kostenlose https-Zertifikate anbieten.
Zertifikatsspeicher am Client
Clients, also Endgeräte, wie ein PC, Smartphone oder Tablet vertrauen allen gängigen, im Internet verwendeten Zertifizierungsstellen. Dazu wurden bei der Installation des Betriebsystems die Zertifizierungsstellen am Client hinterlegt, oder der Browser hat diese integriert. Wenn wir uns den Zertifikatsspeicher von Google Chrome ansehen, können wir alle vorab hinterlegten Zertifizierungsstellen dort finden:
das Zertifikat am Webserver
Webserver haben auf deren Webseite ein Webserverzertifikat hinterlegt. Dieses Webserverzertifikat sollte von einer der oben erwähnten Zertifizierungsstellen (CA) ausgestellt worden sein. Das Zertifikat der CA sollte also am Client vorhanden sein.
Websitebetreiber kaufen sich die Webserverzertifikate von den Zertifizierungsstellen.
Schauen wir uns die Seite von Google an, verwendet diese ein Zertifikat von der Zertifizierungsstelle GeoTrust Global CA:
Der Client vertraut https://www.google.at, da die Seite ein Zertifikat der Zertifizierungsstelle (CA) von GeoTrust verwendet. Das Zertifikat der CA von GeoTrust wiederum ist im Zertifikatsspeicher des Clients. Die GeoTrust Zertifizierungsstelle hat das Webserverzertifikat auf den Namen google.com ausgestellt. Der Client vertraut der Webseite, da er der CA vertraut und da die Webseite über den im Zertifikat hinterlegten Namen, google.com, aufgerufen wird.
{{percentage}} % positiv