Hitzigrath

Netzwerk-Administrator und Hobby-Fotograf

Benutzer-Werkzeuge

Webseiten-Werkzeuge


pki:start

HitPKI - die eigene CA

Um den heutigen Sicherheits-Anforderungen gerecht zu werden, wurde eine eigene PKI eingerichtet. Diese dient der korrekten Authentifizierung der eigenen Sites.

Das Root-Zertifikat basiert aber nicht auf ein Zertifikat der großen CAs und ist somit nicht in irgend einem Browser vorinstalliert. Somit muss jeder, der die Authentizität meiner Sites damit überprüfen will das Root-Zertifikat meiner PKI bei sich erst selbst installieren.

Root-Zertifikat

Das Zertifikat wird in zwei Formaten bereit gestellt:

im PEM-Format für Firefox und Chromium unter Linux. Diese Browser verwalten ihre eigenen Zertifikatsspeicher. (Der Chrome unter Windows greift auf den Zertifikatsspeicher des Betriebssystems zurück.)

im DER-Format für Microsofts Internet Explorer und anderen Browsern, die auf den System-weiten Zertifikatsspeicher des Betriebssystems zugreifen.

Das benötigte Zertifikat ist auf der CA-Seite zu finden.

Dort sind auch die Fingerprints zu den Dateien und vom Zertifikat gelistet.

Websites mit einem Zertifikat dieser PKI

Installation

Leider steht mir zur Zeit kein Mac-System zur Verfügung um entsprechende Installations-Anweisungen beschreiben zu können. Für eine Dokumentation mit korrekten Screenshots zum hiesigen Zertifikat wäre ich sehr verbunden.

Warum eine eigene PKI?

Diese Frage wird sich der ein oder andere stellen. Gerade weil viele Applikationen doch ihre selbst-signierten eigenen Zertifikate mit sich bringen und man sich diese Mühe der Pflege einer PKI eigentlich sparen kann. …
Aber das ist ein Trugschluss!

Das Problem bei einfachen selbst-signierten Zertifikaten besteht darin, dass man keine Möglichkeit hat, um dieses über eine Zertifizierungsstelle zu verifizieren. Dadurch ist es Möglich, dass ein Angreifer sich bei einer sog. Man-in-the-middle Attacke in den Datenstrom hängt und sein eigenes (zumeist nachgebildetes) Zertifikat hierfür einsetzt.
Der Punkt ist, da Zertifikate immer nur eine gewisse Zeit gültig sind, müssen diese immer wieder mal ausgetauscht werden. Somit besteht die Wahrscheinlichkeit, dass immer wieder erneut nach dem „Vertrauen“ einer Website gefragt wird und zumeist hierbei auch arglos (blindlings) zugestimmt wird.

Durch den Einsatz und der Pflege einer eigenen PKI kann dieses Problem umgangen werden. Denn hierdurch ist es Möglich, dass ein Zertifikat einer Website über das Stammzertifikat der PKI verifiziert wird. Auch bei dem Austausch des Serverzertifikats wird beim erneuten Zugriff das Zertifikat wieder geprüft und als gültig eingestuft.
Falls nun ein Angreifer ein Zertifikat nachstellt um sich damit in den Datenstom dazwischen zu schieben, so wird ein Fehler angezeigt. Dies geschieht deswegen, da nur beim Betreiber der Zertifizierungsstelle der private Schlüssel für eine Ausstellung eines Zertifikats hinterlegt ist und ohne diesen Schlüssel kein korrektes Zertifikat für eine vertraute Website unterhalb der PKI erstellt werden kann. Besagter Schlüssel ist nicht öffentlich erreichbar und liegt auf einem gesonderten Datenträger, der nur für den Zweck der Erstellung eines Zertifikats in einen Rechner geladen wird.

Warum kein Zertifikat von VeriSign oder einem der anderen Anbieter?

Auch diese Frage ist eigentlich recht einfach zu beantworten.

In den letzten Jahren sind in einigen Studien heraus gekommen, dass viele zumeist in den Browsern vorinstallierten Stammzertifikate gerade von den großen Anbietern bereits kompromittiert sind (also von Hackern untergraben), oder der private Schlüssel von diversen Geheimdiensten mit benützt wird. Auf Grund dieser Tatsache ist nun sehr fraglich, ob man diesen großen Anbietern und deren Zertifikaten überhaupt noch vertrauen kann.

Mit dem Betrieb einer eigenen PKI besteht nun die Möglichkeit ein eigenes Vertrauen „aufzubauen“. Zwar muss jeder, der dieser PKI vertrauen will, erst mal das Stammzertifikat bei sich installieren, aber durch dieses Verfahren kann auch sicher gestellt werden, dass das Stammzertifikat nicht anderweitig auf dem Weg kompromittiert wurde. Denn die vorinstallierten Zertifikate müssen ja erst bei einem Software-Hersteller zusammen getragen werden, dort in ein Installations- oder Update-Paket gepackt und dann wiederum irgend wie (zumeist über zig Datenspeicher hin und her geschoben) zum Endverbraucher gebracht werden. Bei den vielen Wegen und Leuten die hieran beteiligt sind, kann immer wieder ein Hacker sich dazwischen schalten und ein Stammzertifikat austauschen. … und sowas ist leider schon mehrfach geschehen.

Anmerkung:
Verisign steht hier als Marktführer nur stellvertretend für die Dienstleister der Zertifikats-Aussteller.

pki/start.txt · Zuletzt geändert: 20.07.2017 - 09:52 (Externe Bearbeitung)