Porovnání revizí
Sicherheitszertifikate von Webseiten
Revize 196940:
Revize 196940 od uživatele Artist z data
Revize 281793:
Revize 281793 od uživatele Artist z data
Klíčová slova:
PKI
PKI
Souhrn výsledků vyhledávání:
Websites können Firefox mit einem Zertifikat ihre Identität bestätigen. Hier erfahren Sie, wie Firefox die Authentizität der von Ihnen besuchten Seiten prüft.
Websites können Firefox mit einem Zertifikat ihre Identität bestätigen. Hier erfahren Sie, wie Firefox die Authentizität der von Ihnen besuchten Seiten prüft.
Obsah:
Ein Sicherheitszertifikat hilft Firefox bei der Beurteilung, ob es sich bei der Webseite, die Sie gerade besuchen, auch um diejenige handelt, für die sie sich ausgibt. Dieser Artikel beschreibt, wie es funktioniert.
__TOC__
=Zertifikatshierarchie=
Wenn Sie eine Webseite besuchen, deren Webadresse (URL) mit '''https''' beginnt, wird die Kommunikation zwischen Ihnen und der Webseite verschlüsselt. Bevor die verschlüsselte Kommunikation beginnt, überreicht die Webseite ein Zertifikat an Firefox, um sich zu identifizieren.
Eine https-Seite ist nur insoweit sicher, als der Betreiber der Webseite mit der Person in Kontakt steht, auf die die Domain registriert ist. Außerdem ist die Kommunikation zwischen Ihnen und der Seite verschlüsselt, damit Sie nicht abgehört werden können. Jedoch ist keine weitere Sicherheit oder Garantie vorhanden.
Wenn Sie eine sichere Website besuchen, wird Firefox die Gültigkeit des Zertifikats überprüfen. Dazu prüft Firefox die Gültigkeit aller übergeordneten Zertifikate, bis hin zu einem [https://wiki.mozilla.org/CA:UserCertDB Root-Zertifikat]. Diese Reihe von Zertifikaten wird auch „Zertifikatshierarchie“ genannt.
<!-- Der Absatz "Aufbau eines Zertifikats" stimmt nicht mehr mit der auf der Seite "Zertifikat-Ansicht" vermittelten Information überein, siehe die Diskussion zur Aktualisierung von fx71. Dieser Absatz wird deshalb auskommentiert:
=Aufbau eines Zertifikats=
Das Zertifikat einer sicheren Website enthält folgende Informationen:
'''Seriennummer''': Identifiziert ein Zertifikat eindeutig.
'''Besitzer''': Identifiziert den Eigentümer des Zertifikats, z. B. den Namen der Organisation, der das Zertifikat gehört.
'''Aussteller''': Identifiziert die Instanz, die das Zertifikat erstellt hat.
'''Alternative Namen für den Inhaber des Zertifikates (SAN ≙ engl. Subject Alt Name Extension)''': Liste von Seiten, die mit diesem Zertifikat identifiziert werden können.
'''Signatur''': Daten, die beweisen, dass das Zertifikat vom Aussteller kommt.
'''Signatur-Algorithmus''': Der Algorithmus, der benutzt wurde, um die Signatur zu erstellen.
'''Gültig von''': Das Datum, ab dem das Zertifikat gilt.
'''Gültig bis''': Das Datum, an dem das Zertifikat seine Gültigkeit verliert.
'''Verwendung''': Beschreibt, wie das Zertifikat verwendet werden sollte, z. B. zur Bestätigung des Besitzes einer Website.
'''Öffentlicher Schlüssel''': Der öffentliche Teil des Schlüsselpaares. Der öffentliche und der private Schlüssel sind mathematisch verknüpft, sodass Daten, die mit dem öffentlichen Schlüssel verschlüsselt wurden, nur mit dem passenden privaten Schlüssel entschlüsselt werden können.
'''Public-Key-Algorithmus''': Der Algorithmus, mit dem der öffentliche Schlüssel erstellt wurde.
'''Fingerabdruck''': Eine verkürzte Form des öffentlichen Schlüssels.
'''Fingerabdruck-Algorithmus''': Der Algorithmus, mit dem der Fingerabdruck erstellt wurde.
-->
=Anzeigen eines Zertifikats=
==Mithilfe der Seiteninformationen==
Die Zertifikatdetails der gerade besuchten Webseite können Sie sehr schnell mithilfe der [[Firefox Page Info window|Firefox-Seiteninformationen]] einsehen.
{for not fx70}
Wenn Sie sich auf einer Webseite befinden, deren Adresse mit „https” beginnt, sehen Sie am linken Rand der Adresszeile ein Sperrschloss-Symbol. Um ein Zertifikat anzuzeigen, folgen Sie diesen Schritten:
#Klicken Sie in der Adressleiste auf das Symbol [[Image:Site Info button]].
#Klicken Sie im Auswahlmenü des [[Site Information panel|Kontrollzentrums]] auf den nach rechts weisenden Pfeil.
#Die nächste Ansicht zeigt den Aussteller des Zertifikats. Klicken Sie dort auf {button Weitere Informationen}.<br>[[Image:Seiteninformationen Zertifikat fx67|width=320]]<br>
#Klicken Sie im sich öffnenden Fenster auf die Registerkarte {menu Sicherheit} und dort auf {button Zertifikat anzeigen}.<br>[[Image:Seiteninformationen Sicherheit fx67]]<br>
{/for}
{for fx70}
Wenn Sie sich auf einer Webseite befinden, deren Adresse mit „https” beginnt, sehen Sie am linken Rand der Adresszeile ein Sperrschloss-Symbol. Um ein Zertifikat anzuzeigen, folgen Sie diesen Schritten:
#Klicken Sie in der Adressleiste auf das Sperrschloss-Symbol [[Image:Fx70GreyPadlock]].
#Klicken Sie im Auswahlmenü der [[Site Information panel|Seiteninformationen]] auf den nach rechts weisenden Pfeil.
#Die nächste Ansicht zeigt den Aussteller des Zertifikats. Klicken Sie dort auf {button Weitere Informationen}.<br>[[Image:Seiteninformationen Zertifikat fx70|width=320]]<br>
#Klicken Sie im sich öffnenden Fenster auf die Registerkarte {menu Sicherheit} und dort auf {button Zertifikat anzeigen}.<br>[[Image:Seiteninformationen Sicherheit fx70]]<br>
{/for}
{for not fx71}
Die Zertifikat-Ansicht öffnet sich in einem eigenen Fenster und zeigt grundlegende Informationen über das Zertifikat, z. B. den Aussteller, die Gültigkeitsdauer und Fingerabdrücke. In der Registerkarte {menu Details} sehen Sie die Zertifikatshierarchie, das Zertifikatslayout des gewählten Zertifikats in der Hierarchie und die Feld-Werte des gewählten Felds.
{/for}
{for fx71}
Ein neuer Tab (about:certificate) öffnet sich und zeigt detaillierte Informationen über das Zertifikat, z. B. den Aussteller, die Gültigkeitsdauer, Fingerabdrücke und mehr.<br>[[Image:Seiteninformationen Zertifikatansicht fx71]]<br>
Hier sehen Sie auch die '''Zertifikatshierarchie''' in Spaltenüberschriften (ähnlich wie Tabs) innerhalb der Seite. Sie können auf jede Überschrift eines Zertifikats klicken, um die entsprechenden Informationen zu sehen.
{/for}
<!-- see discussion
==Mithilfe der Firefox-Einstellungen==
Im Absatz „Zertifikate“ Ihrer Firefox-Einstellungen können Sie alle gespeicherten Zertifikate ansehen, zusammen mit den dazugehörigen Details.
#[[Template:optionspreferences]]
#Wählen Sie den Abschnitt {menu Datenschutz & Sicherheit} und gehen Sie im Bereich ''Sicherheit'' zum Absatz '''Zertifikate'''.
#Klicken Sie rechts auf die Schaltfläche {button Zertifikate anzeigen…}, um den Dialog „Zertifikatsverwaltung“ zu öffnen. Standardmäßig wird dort die Registerkarte {menu Ihre Zertifikate} angezeigt, sie enthält eine Liste mit zugeordneten Zertifikaten.
#Klicken Sie in der Liste auf eines der Zertifikate.
#Klicken Sie unten auf die Schaltfläche {button Ansehen…}
Das Fenster „about:certificate“ öffnet sich und zeigt grundlegende Informationen über das Zertifikat, z. B. den Aussteller, die Gültigkeitsdauer und Fingerabdrücke.
-->
=Unsichere Zertifikate=
Wenn es bei einer Webseite, deren Webadresse (URL) mit '''https''' beginnt, ein Problem mit dem Zertifikat gibt, sehen Sie anstelle der Webseite eine Fehlerseite mit einer entsprechenden Meldung. Der Artikel [[What do the security warning codes mean?]] beschreibt einige der häufigsten Fehlermeldungen.
Um das unsichere Zertifikat anzuzeigen, folgen Sie diesen Schritten:
{for not fx66}
#Klicken Sie auf der Seite mit der Warnung „Diese Verbindung ist nicht sicher“ auf {button Erweitert…}
#Klicken Sie auf {button Ausnahme hinzufügen…}<br>{for win}[[Image:Zertifikat - Ausnahme hinzufügen fx50 win7]]{/for}
#Der Dialog „Sicherheits-Ausnahmeregel hinzufügen” öffnet sich.
#Klicken Sie auf {button Anzeigen…}, danach sehen Sie den Dialog zum Anzeigen des Zertifikats.
{/for}
{for fx66}
#Klicken Sie auf der Fehlerseite mit der Warnung „Warnung: Mögliches Sicherheitsrisiko erkannt“ auf {button Erweitert…} (auf Fehlerseiten mit anderslautenden Warnungen klicken Sie auf {button Weitere Informationen…}), damit technische Details über diesen Fehler angezeigt werden.
#Klicken Sie unterhalb des Fehlercodes auf ''Zertifikat anzeigen''. Danach sehen Sie den Dialog zum Anzeigen des Zertifikats.<br>[[Image:Fehlercode Kein Verbindungsversuch Erweitert subdomain fx66 win]]<br>
{/for}
=Unsichere Zertifikate melden=
Auf Fehlerseiten mit Zertifikats-Fehlermeldungen können Sie den Fehler an Mozilla melden. Das Weitergeben der Webadresse und des Zertifikats der unsicheren Seite hilft Mozilla, gefährliche Seiten zu identifizieren und zu blockieren, um Sie besser zu schützen.
<!-- see discussion
=Löschen eines Zertifikats=
Mit diesen Schritten können Sie ein Zertifikat löschen:
#[[Template:optionspreferences]]
#Wählen Sie den Abschnitt {menu Datenschutz & Sicherheit} und gehen Sie im Bereich ''Sicherheit'' zum Absatz '''Zertifikate'''.
#Klicken Sie rechts auf die Schaltfläche {button Zertifikate anzeigen…}, um den Dialog „Zertifikatsverwaltung“ zu öffnen. Standardmäßig wird dort die Registerkarte {menu Ihre Zertifikate} angezeigt, sie enthält eine Liste mit zugeordneten Zertifikaten.
#Klicken Sie in der Liste auf eines der Zertifikate.
#Klicken Sie unten auf die Schaltfläche {button Löschen…}. Danach öffnet sich ein Bestätigungsdialog.
Klicken Sie auf die Schaltfläche {button OK}. Die Registerkarte {menu Ihre Zertifikate} enthält anschließend in der Liste dieses Zertifikat nicht mehr.
-->
[https://de.wikipedia.org/wiki/Transport_Layer_Security TLS-Zertifikate (Transport Layer Security)] prüfen die Integrität sowohl des Eigentums als auch der Informationen der besuchten Websites. In der Praxis helfen diese Website-Sicherheitszertifikate Firefox bei der Beurteilung, ob es sich bei der Webseite, die Sie gerade besuchen, auch um diejenige handelt, für die sie sich ausgibt. Hier erfahren Sie, wie Zertifikate funktionieren.
__TOC__
=Websites, die Zertifikate verwenden=
Websites, deren Adressen mit '''https''' beginnen, verwenden TLS-Zertifikate. Diese Websites sind nur dann sicher, wenn sie zwei Bedingungen erfüllen:
*Der Website-Administrator besitzt den Namen der Website oder kennt deren Besitzer.
*Die Website verschlüsselt die Verbindung zwischen Ihrem Browser und sich selbst, um ein Ausspähen zu verhindern.
=Zertifikatskette („Vertrauenskette“ oder „Chain of Trust“)=
Browser wie Firefox überprüfen Zertifikate durch eine Hierarchie, die Zertifikatskette (auch „Vertrauenskette“ oder „Chain of Trust“) genannt wird. Sie definiert eine Struktur für Browser und andere Programme, um die Integrität des Zertifikats zu überprüfen. Dieses Diagramm zeigt die Zertifikatskette:<br>[[Image:chain-of-trust]]<br>
Die Zertifikatskette besteht aus drei Zertifikaten:
*dem Stammzertifikat, auch als Wurzel- oder [https://wiki.mozilla.org/CA:UserCertDB Root]-Zertifikat bezeichnet ([https://de.wikipedia.org/wiki/Vertrauensanker = trust anchor])
*dem Zwischenzertifikat (intermediate)
*dem Serverzertifikat (end entity)
'''Definition der Zertifikate:'''
Das Stammzertifikat gehört einer [https://de.wikipedia.org/wiki/Zertifizierungsstelle_(Digitale_Zertifikate) Zertifizierungsstelle] (Certificate Authority, kurz CA), die TLS-Zertifikate ausstellt, und denen der Browser grundsätzlich vertraut. Das Zwischenzertifikat fungiert als Vermittler zwischen der Stammzertifizierungsstelle und der Website. Das Serverzertifikat gehört der Person, die die Website verwaltet, z. B. dem Administrator.
Diese Zertifikate beinhalten folgende Informationen:
*Einzelheiten über die Zertifizierungsstelle (CA)
*ein asymmetrisches Schlüsselpaar mit einem
**privaten Schlüssel, der das nächste Zertifikat in der Kette verschlüsselt signiert; das Serverzertifikat verfügt über einen Schlüssel für andere Aufgaben
**öffentlichen Schlüssel zum Entschlüsseln der Signatur des nächsten Zertifikats in der Kette, um dessen Identität zu überprüfen, das Serverzertifikat verwendet ihn für andere Aufgaben.
Das folgende Kapitel beschreibt, wie Firefox prüft, ob eine Website sicher ist.
=Wie prüft Firefox mithilfe der Zertifikatskette die Integrität der TLS-Zertifikate?=
#Firefox lädt das Zertifikat der von Ihnen besuchten Website herunter.
#Firefox prüft das Zertifikat mithilfe seiner internen Zertifizierungsstellendatenbank (CAs).
#*Dabei verwendet Firefox den öffentlichen Schlüssel des CA-Stammzertifikats, um sicherzustellen, dass das Stammzertifikat und das Zwischenzertifikat in der Kette korrekt signiert sind.
#Firefox prüft bei der Zertifizierungsstelle, ob die Website, zu der Sie eine Verbindung herstellen, mit der Website im Serverzertifikat übereinstimmt.
#Firefox erzeugt einen symmetrischen (eindeutigen) Schlüssel, um den HTTP-Verkehr der Verbindung zu verschlüsseln.
#Firefox verschlüsselt den symmetrischen Schlüssel mit dem öffentlichen Schlüssel des Serverzertifikats.
#Der private Schlüssel, der sich auf dem Webserver befindet, entschlüsselt die Verbindungsdaten.
=Anzeigen eines Zertifikats=
Mit diesen Schritten können Sie das Zertifikat einer Website anzeigen:
#Klicken Sie in der Adressleiste links neben der Internetadresse (URL) auf das Sperrschloss-Symbol.<br>[[Image:TLS Zertifikat 1 fx127]]<br>
#Klicken Sie auf {button Verbindung sicher}.<br>[[Image:TLS Zertifikat 2 fx127]]<br>
#Klicken Sie unten auf {button Weitere Informationen}.<br>[[Image:TLS Zertifikat 3 fx127]]<br>
#Klicken Sie im sich öffnenden Fenster „Seiteninformationen“ in der Registerkarte '''Sicherheit''' rechts auf {button Zertifikat anzeigen}.<br>[[Image:TLS Zertifikat 4 fx127]]<br>
Firefox öffnet nun die Seite '''about:certificate''' mit den Angaben des Zertifikats für die Website, auf der Sie sich gerade befinden.<br>[[Image:TLS Zertifikat 5 fx127]]<br>
=Inhalt von TLS-Zertifikaten=
TLS-Zertifikate enthalten folgende Angaben:
*'''Inhabername:''' Enthält den Namen der Website und optionale Attribute, z. B. Informationen über die Organisation, die das Zertifikat besitzt.
*'''Ausstellername:''' Identifiziert die Organisation, die das Zertifikat ausgestellt hat.
*'''Gültigkeit:''' Zeigt Beginn und Ende der Gültigkeit des Zertifikats.
*'''Alternative Inhaberbezeichnungen:''' Liste der Website-Adressen ([https://de.wikipedia.org/wiki/Domain_Name_System DNS-Namen]), für die das Zertifikat gilt.
*'''Öffentlicher Schlüssel - Informationen:''' Liste der Attribute des öffentlichen Schlüssels des Zertifikats.
*'''Verschiedenes:''' Hierunter fallen z. B.<br>
**'''die Seriennummer''' als eindeutige Identifikation des Zertifikats und
**'''der Signaturalgorithmus''', d. h. der Algorithmus, der die Signatur erstellte.
*'''Fingerabdrücke:''' Hash der Zertifikatsdatei im binären [https://wiki.openssl.org/index.php/DER DER]-Format (englischsprachiger Link).
*'''Schlüsselverwendung und Erweitere Schlüsselverwendung:''' Gibt an, wie Personen das Zertifikat verwenden können, z. B. um den Besitz einer Website zu bestätigen (Webserver-Authentifizierung).
*'''ID für verwendeten Schlüssel des Zertifikatinhabers (Subject Key ID):''' Eine Kennung, die aus dem öffentlichen Schlüssel des TLS-Zertifikats erstellt wird, um das Zertifikat zu identifizieren.
*'''ID für verwendeten Schlüssel der Zertifizierungsstelle (Authority Key ID):''' Eine Kennung, die aus dem öffentlichen Schlüssel des TLS-Zertifikats erstellt wird, um den öffentlichen Schlüssel zu identifizieren, der dem privaten Schlüssel entspricht, der zum Signieren des Zertifikats verwendet wird.
*'''Endpunkte für CRL (Zertifikatsperrliste):''' Die Speicherorte der [https://csrc.nist.gov/glossary/term/certificate_revocation_list Zertifikatssperrliste] (Certificate Revocation List = CRL) der ausstellenden Zertifizierungsstelle (englischsprachiger Link).
*'''Zertifizierungsstelleninformationen - Authority Info (AIA):''' Enthält die Validierungsmethode für die Zertifizierungsstelle und Zwischenzertifikatsdateien.
*'''Zertifikatsregeln:''' Enthält den Zertifikatsvalidierungstyp und einen Link zum [https://csrc.nist.gov/glossary/term/certification_practice_statement Certification Practices Statement] (CPS) der Zertifizierungsstelle (englischsprachiger Link).
*'''Enthaltene signierte Zertifikatzeitstempel (SCT):''' Liste der signierten Zertifikatszeitstempel ([https://www.globalsign.com/en/blog/what-is-certificate-transparency Signed Certificate Timestamps = (SCTs)] (englischsprachiger Link).
=Probleme mit Zertifikaten=
Wenn es beim Besuch einer Webseite, deren Internetadresse (URL) mit '''https''' beginnt, ein Problem mit dem TLS-Zertifikat gibt, sehen Sie anstelle der aufgerufenen Webseite eine Fehlerseite mit einer entsprechenden Meldung. Unter [[What do the security warning codes mean?]] finden Sie einige der häufigsten Fehlermeldungen.
Mit diesen Schritten zeigen Sie ein solches problematisches Zertifikat an:
#Klicken Sie auf der Fehlerseite mit der Warnung „Warnung: Diese Verbindung ist nicht sicher“, „Warnung: Mögliches Sicherheitsrisiko erkannt“ oder ähnlichen Warnungen auf {button Erweitert…} (auf Fehlerseiten mit anderslautenden Warnungen klicken Sie auf {button Weitere Informationen…}), damit technische Details über diesen Fehler angezeigt werden.<br>[[Image:TLS Zertifikat Warnseite fx127]]<br>
#Klicken Sie unterhalb des Fehlercodes auf den Link '''Zertifikat anzeigen''', um die Seite mit den Angaben zum Zertifikat zu öffnen.<br>[[Image:TLS Zertifikat Warnseite erweiterte Infos fx127]]<br>
<!-- Diese Funktion scheint veraltet zu sein und wird bis zur Klärung auskommmentiert:
=Unsichere Zertifikate melden=
Auf Fehlerseiten mit Zertifikats-Fehlermeldungen können Sie den Fehler an Mozilla melden. Das Weitergeben der Webadresse und des Zertifikats der unsicheren Seite hilft Mozilla, gefährliche Seiten zu identifizieren und zu blockieren, um Sie besser zu schützen. -->
<!-- siehe hierzu die Diskussion im englischen Artikel
=Löschen eines Zertifikats=
Mit diesen Schritten können Sie ein Zertifikat löschen:
#[[Template:optionspreferences]]
#Wählen Sie den Abschnitt {menu Datenschutz & Sicherheit} und gehen Sie im Bereich ''Sicherheit'' zum Absatz '''Zertifikate'''.
#Klicken Sie rechts auf die Schaltfläche {button Zertifikate anzeigen…}, um den Dialog „Zertifikatsverwaltung“ zu öffnen. Standardmäßig wird dort die Registerkarte {menu Ihre Zertifikate} angezeigt, sie enthält eine Liste mit zugeordneten Zertifikaten.
#Klicken Sie in der Liste auf eines der Zertifikate.
#Klicken Sie unten auf die Schaltfläche {button Löschen…}. Danach öffnet sich ein Bestätigungsdialog.
Klicken Sie auf die Schaltfläche {button OK}. Die Registerkarte {menu Ihre Zertifikate} enthält anschließend in der Liste dieses Zertifikat nicht mehr.
-->