திருத்தங்களை ஒப்பிடு

PKI

Websites können Firefox mit einem Zertifikat ihre Identität bestätigen. Hier erfahren Sie, wie Firefox die Authentizität der von Ihnen besuchten Seiten prüft.

[https://de.wikipedia.org/wiki/Transport_Layer_Security TLS-Zertifikate (Transport Layer Security)] prüfen die Integrität sowohl des Eigentums als auch der Informationen der besuchten Websites. In der Praxis helfen diese Website-Sicherheitszertifikate Firefox bei der Beurteilung, ob es sich bei der Webseite, die Sie gerade besuchen, auch um diejenige handelt, für die sie sich ausgibt. Hier erfahren Sie, wie Zertifikate funktionieren. __TOC__ =Websites, die Zertifikate verwenden= Websites, deren Adressen mit '''https''' beginnen, verwenden TLS-Zertifikate. Diese Websites sind nur dann sicher, wenn sie zwei Bedingungen erfüllen: *Der Website-Administrator besitzt den Namen der Website oder kennt deren Besitzer. *Die Website verschlüsselt die Verbindung zwischen Ihrem Browser und sich selbst, um ein Ausspähen zu verhindern. =Zertifikatskette („Vertrauenskette“ oder „Chain of Trust“)= Browser wie Firefox überprüfen Zertifikate durch eine Hierarchie, die Zertifikatskette (auch „Vertrauenskette“ oder „Chain of Trust“) genannt wird. Sie definiert eine Struktur für Browser und andere Programme, um die Integrität des Zertifikats zu überprüfen. Dieses Diagramm zeigt die Zertifikatskette:<br>[[Image:chain-of-trust]]<br> Die Zertifikatskette besteht aus drei Zertifikaten: *dem Stammzertifikat, auch als Wurzel- oder [https://wiki.mozilla.org/CA:UserCertDB Root]-Zertifikat bezeichnet ([https://de.wikipedia.org/wiki/Vertrauensanker = trust anchor]) *dem Zwischenzertifikat (intermediate) *dem Serverzertifikat (end entity) '''Definition der Zertifikate:''' Das Stammzertifikat gehört einer [https://de.wikipedia.org/wiki/Zertifizierungsstelle_(Digitale_Zertifikate) Zertifizierungsstelle] (Certificate Authority, kurz CA), die TLS-Zertifikate ausstellt, und denen der Browser grundsätzlich vertraut. Das Zwischenzertifikat fungiert als Vermittler zwischen der Stammzertifizierungsstelle und der Website. Das Serverzertifikat gehört der Person, die die Website verwaltet, z. B. dem Administrator. Diese Zertifikate beinhalten folgende Informationen: *Einzelheiten über die Zertifizierungsstelle (CA) *ein asymmetrisches Schlüsselpaar mit einem **privaten Schlüssel, der das nächste Zertifikat in der Kette verschlüsselt signiert; das Serverzertifikat verfügt über einen Schlüssel für andere Aufgaben **öffentlichen Schlüssel zum Entschlüsseln der Signatur des nächsten Zertifikats in der Kette, um dessen Identität zu überprüfen, das Serverzertifikat verwendet ihn für andere Aufgaben. Das folgende Kapitel beschreibt, wie Firefox prüft, ob eine Website sicher ist. =Wie prüft Firefox mithilfe der Zertifikatskette die Integrität der TLS-Zertifikate?= #Firefox lädt das Zertifikat der von Ihnen besuchten Website herunter. #Firefox prüft das Zertifikat mithilfe seiner internen Zertifizierungsstellendatenbank (CAs). #*Dabei verwendet Firefox den öffentlichen Schlüssel des CA-Stammzertifikats, um sicherzustellen, dass das Stammzertifikat und das Zwischenzertifikat in der Kette korrekt signiert sind. #Firefox prüft bei der Zertifizierungsstelle, ob die Website, zu der Sie eine Verbindung herstellen, mit der Website im Serverzertifikat übereinstimmt. #Firefox erzeugt einen symmetrischen (eindeutigen) Schlüssel, um den HTTP-Verkehr der Verbindung zu verschlüsseln. #Firefox verschlüsselt den symmetrischen Schlüssel mit dem öffentlichen Schlüssel des Serverzertifikats. #Der private Schlüssel, der sich auf dem Webserver befindet, entschlüsselt die Verbindungsdaten. =Anzeigen eines Zertifikats= Mit diesen Schritten können Sie das Zertifikat einer Website anzeigen: #Klicken Sie in der Adressleiste links neben der Internetadresse (URL) auf das Sperrschloss-Symbol.<br>[[Image:TLS Zertifikat 1 fx127]]<br> #Klicken Sie auf {button Verbindung sicher}.<br>[[Image:TLS Zertifikat 2 fx127]]<br> #Klicken Sie unten auf {button Weitere Informationen}.<br>[[Image:TLS Zertifikat 3 fx127]]<br> #Klicken Sie im sich öffnenden Fenster „Seiteninformationen“ in der Registerkarte '''Sicherheit''' rechts auf {button Zertifikat anzeigen}.<br>[[Image:TLS Zertifikat 4 fx127]]<br> Firefox öffnet nun die Seite '''about:certificate''' mit den Angaben des Zertifikats für die Website, auf der Sie sich gerade befinden.<br>[[Image:TLS Zertifikat 5 fx127]]<br> =Inhalt von TLS-Zertifikaten= TLS-Zertifikate enthalten folgende Angaben: *'''Inhabername:''' Enthält den Namen der Website und optionale Attribute, z. B. Informationen über die Organisation, die das Zertifikat besitzt. *'''Ausstellername:''' Identifiziert die Organisation, die das Zertifikat ausgestellt hat. *'''Gültigkeit:''' Zeigt Beginn und Ende der Gültigkeit des Zertifikats. *'''Alternative Inhaberbezeichnungen:''' Liste der Website-Adressen ([https://de.wikipedia.org/wiki/Domain_Name_System DNS-Namen]), für die das Zertifikat gilt. *'''Öffentlicher Schlüssel - Informationen:''' Liste der Attribute des öffentlichen Schlüssels des Zertifikats. *'''Verschiedenes:''' Hierunter fallen z. B.<br> **'''die Seriennummer''' als eindeutige Identifikation des Zertifikats und **'''der Signaturalgorithmus''', d. h. der Algorithmus, der die Signatur erstellte. *'''Fingerabdrücke:''' Hash der Zertifikatsdatei im binären [https://wiki.openssl.org/index.php/DER DER]-Format (englischsprachiger Link). *'''Schlüsselverwendung und Erweitere Schlüsselverwendung:''' Gibt an, wie Personen das Zertifikat verwenden können, z. B. um den Besitz einer Website zu bestätigen (Webserver-Authentifizierung). *'''ID für verwendeten Schlüssel des Zertifikatinhabers (Subject Key ID):''' Eine Kennung, die aus dem öffentlichen Schlüssel des TLS-Zertifikats erstellt wird, um das Zertifikat zu identifizieren. *'''ID für verwendeten Schlüssel der Zertifizierungsstelle (Authority Key ID):''' Eine Kennung, die aus dem öffentlichen Schlüssel des TLS-Zertifikats erstellt wird, um den öffentlichen Schlüssel zu identifizieren, der dem privaten Schlüssel entspricht, der zum Signieren des Zertifikats verwendet wird. *'''Endpunkte für CRL (Zertifikatsperrliste):''' Die Speicherorte der [https://csrc.nist.gov/glossary/term/certificate_revocation_list Zertifikatssperrliste] (Certificate Revocation List = CRL) der ausstellenden Zertifizierungsstelle (englischsprachiger Link). *'''Zertifizierungsstelleninformationen - Authority Info (AIA):''' Enthält die Validierungsmethode für die Zertifizierungsstelle und Zwischenzertifikatsdateien. *'''Zertifikatsregeln:''' Enthält den Zertifikatsvalidierungstyp und einen Link zum [https://csrc.nist.gov/glossary/term/certification_practice_statement Certification Practices Statement] (CPS) der Zertifizierungsstelle (englischsprachiger Link). *'''Enthaltene signierte Zertifikatzeitstempel (SCT):''' Liste der signierten Zertifikatszeitstempel ([https://www.globalsign.com/en/blog/what-is-certificate-transparency Signed Certificate Timestamps = (SCTs)] (englischsprachiger Link). =Probleme mit Zertifikaten= Wenn es beim Besuch einer Webseite, deren Internetadresse (URL) mit '''https''' beginnt, ein Problem mit dem TLS-Zertifikat gibt, sehen Sie anstelle der aufgerufenen Webseite eine Fehlerseite mit einer entsprechenden Meldung. Unter [[What do the security warning codes mean?]] finden Sie einige der häufigsten Fehlermeldungen. Mit diesen Schritten zeigen Sie ein solches problematisches Zertifikat an: #Klicken Sie auf der Fehlerseite mit der Warnung „Warnung: Diese Verbindung ist nicht sicher“, „Warnung: Mögliches Sicherheitsrisiko erkannt“ oder ähnlichen Warnungen auf {button Erweitert…} (auf Fehlerseiten mit anderslautenden Warnungen klicken Sie auf {button Weitere Informationen…}), damit technische Details über diesen Fehler angezeigt werden.<br>[[Image:TLS Zertifikat Warnseite fx127]]<br> #Klicken Sie unterhalb des Fehlercodes auf den Link '''Zertifikat anzeigen''', um die Seite mit den Angaben zum Zertifikat zu öffnen.<br>[[Image:TLS Zertifikat Warnseite erweiterte Infos fx127]]<br> <!-- Diese Funktion scheint veraltet zu sein und wird bis zur Klärung auskommmentiert: =Unsichere Zertifikate melden= Auf Fehlerseiten mit Zertifikats-Fehlermeldungen können Sie den Fehler an Mozilla melden. Das Weitergeben der Webadresse und des Zertifikats der unsicheren Seite hilft Mozilla, gefährliche Seiten zu identifizieren und zu blockieren, um Sie besser zu schützen. --> <!-- siehe hierzu die Diskussion im englischen Artikel =Löschen eines Zertifikats= Mit diesen Schritten können Sie ein Zertifikat löschen: #[[Template:optionspreferences]] #Wählen Sie den Abschnitt {menu Datenschutz & Sicherheit} und gehen Sie im Bereich ''Sicherheit'' zum Absatz '''Zertifikate'''. #Klicken Sie rechts auf die Schaltfläche {button Zertifikate anzeigen…}, um den Dialog „Zertifikatsverwaltung“ zu öffnen. Standardmäßig wird dort die Registerkarte {menu Ihre Zertifikate} angezeigt, sie enthält eine Liste mit zugeordneten Zertifikaten. #Klicken Sie in der Liste auf eines der Zertifikate. #Klicken Sie unten auf die Schaltfläche {button Löschen…}. Danach öffnet sich ein Bestätigungsdialog. Klicken Sie auf die Schaltfläche {button OK}. Die Registerkarte {menu Ihre Zertifikate} enthält anschließend in der Liste dieses Zertifikat nicht mehr. -->