Ein Leitfaden für Stammzertifikate

In letzter Zeit gab es einige Kontroversen über ein kürzlich veröffentlichtes Update, bei dem 17 neue Stammzertifikate stillschweigend zu Windows hinzugefügt (und 1 entfernt) wurden, ohne dass die Benutzer darauf hingewiesen wurden..


Wir hielten es daher für eine gute Zeit, um zu erklären, was Stammzertifikate sind und ob Leser sich Sorgen machen sollten ...

Was ist ein Stammzertifikat??

Woher wissen Sie beim Besuch einer Website, dass es sich um die Website handelt, von der Sie glauben, dass Sie sie besuchen? Die Antwort des Internets auf dieses Problem sind SSL-Zertifikate (auch als HTTPS-Zertifikate bezeichnet)..

Wenn Sie eine SSL-gesicherte Website (https: //) besuchen, zeigt die Website Ihrem Browser zusätzlich zu der durch SSL / TSL-Verschlüsselung gesicherten Verbindung ein SSL-Zertifikat an, das dies (oder genauer gesagt, den Besitz des öffentlichen Schlüssels der Website) bestätigt ) wurde von einer anerkannten Zertifizierungsstelle (CA) authentifiziert. Es gibt ungefähr 1200 solcher CAs.

Wenn einem Browser ein gültiges Zertifikat vorgelegt wird, wird davon ausgegangen, dass eine Website echt ist, eine sichere Verbindung hergestellt und ein gesperrtes Vorhängeschloss in der URL-Leiste angezeigt, um Benutzer darauf hinzuweisen, dass die Website echt und sicher ist.

bestvpn https

Dieses System, das den Eckpfeiler der Sicherheit im Internet darstellt und auf fast jeder sicheren Website zum Umgang mit vertraulichen Informationen (einschließlich Banken, Webmail-Diensten, Zahlungsprozessoren usw.) verwendet wird, ist daher auf das Vertrauen der Zertifizierungsstellen angewiesen.

Zertifizierungsstellen stellen Zertifikate basierend auf einer Vertrauenskette aus und stellen mehrere Zertifikate in Form einer Baumstruktur für weniger autorisierende Zertifizierungsstellen aus. Eine Stammzertifizierungsstelle ist daher der Vertrauensanker, auf dem das Vertrauen in alle weniger autorisierten Zertifizierungsstellen basiert. Ein Stammzertifikat wird zur Authentifizierung einer Stammzertifizierungsstelle verwendet.

Also, wer stellt die Root-Zertifikate aus?Root-Zertifikat

Im Allgemeinen werden Stammzertifikate von Betriebssystementwicklern wie Microsoft und Apple verteilt. Die meisten Apps und Browser von Drittanbietern (z. B. Chrome) verwenden die Stammzertifikate des Systems. Einige Entwickler verwenden jedoch ihre eigenen, insbesondere Mozilla (Firefox), Adobe, Opera und Oracle, die von ihren Produkten verwendet werden.

Probleme mit dem CA-System

Das gesamte CA-System ist daher auf Vertrauen angewiesen. Woher wissen Sie, dass diesen Zertifikaten vertraut werden kann? Letztendlich muss man jemandem vertrauen, und wenn man den Entwicklern der von Ihnen verwendeten Software vertraut, muss man deren Zertifikaten vertrauen.

Zumindest ist das die Theorie. Wie eine aktuelle Warnung von Google zu gefälschten SSL-Zertifikaten zeigt, kann nur eine "betrügerische" Zertifizierungsstelle, die unzuverlässige Zertifikate ausstellt, Chaos anrichten. Leider können Zertifizierungsstellen gefälschte Zertifikate ausstellen (und von denen bekannt war). Der übliche Schuldige dafür sind skrupellose Regierungen, die Druck auf CA-Unternehmen ausüben, aber Kriminelle können auch CAs mit starken Waffen einsetzen und Hacker können ihre Systeme kompromittieren.

Die Electronic Frontier Foundation (EFF) startete ein SSL-Beobachtungsprojekt mit dem Ziel, alle zur Absicherung des Internets verwendeten Zertifikate zu untersuchen und die Öffentlichkeit aufzufordern, die Zertifikate zur Analyse einzusenden. Nach unserem Kenntnisstand ist dieses Projekt jedoch nie wirklich angelaufen und schlummert seit Jahren.

Warum also die ganze Aufregung darüber, dass Microsoft Stammzertifikate „heimlich“ hinzufügt??

Einige Kommentatoren schwärmen davon, dass Microsoft neue Stammzertifikate hinzufügt, ohne die Benutzer zu benachrichtigen oder um Erlaubnis zu bitten. Wir müssen jedoch beachten, dass die überwiegende Mehrheit der Benutzer (einschließlich uns) keine zuverlässige Möglichkeit hat, zu bestimmen, ob eine bestimmte Stammzertifizierungsstelle vertrauenswürdig ist oder nicht, weshalb dieser gesamte Streit unserer Ansicht nach eher sinnlos ist.

Wenn Sie Microsoft nicht vertrauen, verwenden Sie kein Windows. Wenn Sie es mit der Sicherheit ernst meinen, sollten Sie Microsoft auf keinen Fall vertrauen, und es ist sehr wahrscheinlich, dass einige der bereits mit Windows gelieferten Stammzertifikate es dem NSA ermöglichen, MitM-Angriffe auf Ihren Computer auszuführen, falls er dies wünscht. Diese können Sie theoretisch auf gefälschte Websites verweisen, die dank gefälschter SSL-Zertifikate für Ihren Browser echt aussehen.

Sicherheitsinteressierte sollten Linux verwenden (und vorzugsweise eine gehärtete Distribution). Es sollte auch betont werden, dass kein mobiles Betriebssystem im geringsten als sicher angesehen werden kann.

Die Liste der neuen Zertifizierungsstellen, die kürzlich zur Microsoft Certificate Trust List hinzugefügt wurden, ist für uns ziemlich harmlos (viele sind lediglich Upgrades auf ältere Zertifikate), aber wer weiß?

So entfernen Sie ein Stammzertifikat

Wenn Ihnen eine bestimmte Stammzertifizierungsstelle wirklich nicht gefällt, können Sie das Stammzertifikat entfernen. Seien Sie gewarnt, dass dadurch alle Zertifikate, die von dieser Zertifizierungsstelle ausgestellt wurden, nicht mehr als vertrauenswürdig eingestuft werden. Dies gilt auch für alle Zertifikate einer der weniger autorisierten Zertifizierungsstellen. Das Entfernen dieser kann sich sehr negativ auf Ihre Interneterfahrung auswirken.

Nach dem jüngsten Fiasko mit gefälschten Google-Zertifikaten empfehlen einige Personen, chinesische Zertifizierungsstellen zu entfernen. Wir betonen jedoch, dass dies auf eigenes Risiko geschieht.

Windows

Wir verwenden Windows 8.1, aber der Prozess sollte auf allen Windows-Versionen ziemlich gleich sein.

1. Klicken Sie mit der rechten Maustaste auf das Internet Explorer-Symbol -> Als Administrator ausführen

2. Gehen Sie zu Extras (Zahnradsymbol oben rechts) -> Internet Optionen -> Registerkarte "Inhalt" -> Zertifikate -> Vertrauenswürdige Stammzertifizierungsstellen

3. Wählen Sie das Zertifikat aus, das Sie entfernen möchten, und klicken Sie auf "Entfernen". Beachten Sie, dass es wahrscheinlich eine sehr gute Idee ist, zuerst ein Zertifikat für die Sicherung zu exportieren, damit Sie es später bei Bedarf wiederherstellen können.IE-Stammzertifikate

Feuerfuchs (nur Desktop-Versionen)

1. Öffnen Sie Firefox und gehen Sie zu Menü öffnen -> Optionen -> Fortgeschritten -> Zertifikate -> Zertifikate anzeigen

2. Klicken Sie im Fenster "Zertifikatsverwaltung" auf die Registerkarte "Berechtigungen". Daraufhin wird die Liste der autorisierten Stammzertifizierungsstellen zusammen mit den Zertifikaten angezeigt, die sie unter sich autorisiert haben

3. Klicken Sie auf ein Zertifikat, das Ihnen nicht gefällt, und klicken Sie auf "Löschen oder Misstrauen".Firefox-Stammzertifikate 1

Klicken Sie auf OK, wenn Sie sicher sindFirefox-Stammzertifikate 2

Um eine bestimmte Stammzertifizierungsstelle vollständig zu entfernen, müssen Sie alle von ihr autorisierten Zertifikate "löschen" oder "misstrauen". Wie beim Entfernen von Windows-Stammzertifikaten wird dringend empfohlen, zuerst entfernte Zertifikate zu sichern.

Mac OS X

Ich bin kein Mac-Benutzer, aber so wie ich es verstehe, erlaubt Apple Benutzern nicht, Stammzertifikate zu entfernen, selbst wenn sie Root-Berechtigungen verwenden. Nicht-Root-Zertifikate können über den Schlüsselbundzugriff entfernt werden.

Android (5.1 Lollipop, aber in allen Versionen ähnlich)

1. Gehen Sie zu Einstellungen -> Sicherheit -> Vertrauenswürdige Anmeldeinformationen -> Registerkarte "System". Tippen Sie auf das grüne Häkchen neben dem Zertifikat, das Ihnen nicht gefällt

2. Scrollen Sie durch die Zertifikatdetails nach unten und wählen Sie "Deaktivieren".Android-Root-Zertifikate 1

iOSAndroid Root-Zertifikate 2

Stammzertifikate können in iOS nicht entfernt werden (persönliche Zertifikate können mit dem iPhone-Konfigurationsdienstprogramm entfernt werden).

Ubuntu (wird für die meisten Linux-Versionen ähnlich sein)

Die einfachste Möglichkeit, die Auswahl von Zertifizierungsstellen aufzuheben, besteht darin, das Terminal zu öffnen und Folgendes auszuführen:

sudo dpkg-reconfigure ca-certificates

Drücken Sie die Leertaste, um die Auswahl eines Zertifikats aufzuheben.Ubuntu Root-Zertifikate 3

Die Liste der CAs ist in der Datei /etc/ca-certificates.conf gespeichert. Dies kann manuell bearbeitet werden, indem Folgendes eingegeben wird:

nano /etc/ca-certificates.conf

Wenn Sie diese Datei manuell bearbeiten, müssen Sie den folgenden Befehl ausführen, um die tatsächlichen Zertifikate in / etc / ssl / certs / zu aktualisieren:Ubuntu-Root-Zertifikate 4

sudo update-ca-Zertifikate

(Wenn Sie dpkg-reconfigure verwenden, wird dies automatisch durchgeführt.).

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me