sebkrause.de – willkommen!
Lexikon * Aktuelles * FAQ * Ich * Kontakt * Impressum * * english
Nerd-Lexikon für Nicht-Nerds: Begriffe aus diversen Fachgebieten, für Nichtfachmänner verständlich erläutert. Über das Lexikon: Über das Lexikon.
<< Bug ... Index ... Casimir-Effekt >>
CA
(Kategorie: Computer)

CA steht für Certification Authority, das sind gewissermaßen Notare im Netz. Man kann zu ihnen gehen und sich eine Art Personalausweis (ein Zertifikat) ausstellen lassen, das nachweisen soll, dass man der ist, für den man sich ausgibt.

Wichtig wird das, wenn Sie (also Ihr Browser) verschlüsselt mit z.B. Ihrer Bank kommunizieren wollen, z.B. per SSL/TLS/HTTPS . Ihre Bank zeigt dann Ihrem Browser ihr Zertifikat, das von der CA Soundso unterschrieben ist. Nun schaut Ihr Browser nach, ob er diese CA kennt.

Sehen Sie also die oben erwähnte Meldung, dann ist Vorsicht, aber noch nicht Verzweiflung geboten. Man kann das Zertifikat nämlich seinem Browser auch hinzufügen.

Es geht also bei diesen CAs um Vertrauen und Ketten von Vertrauen. Es gibt eine Handvoll sog. Root-CAs, die also die Wurzel der Vertrauensketten bilden; denen vertraut Ihr Browser blind. Aber wem denn noch? Schauen Sie mal in die Liste! In Firefox findet man sie in den Einstellungen unter "Erweitert" -> "Zertifikate" -> "Zertifikate anzeigen" -> Zertifizierungsstellen". Wem traut Ihr Browser also?

Man findet die Deutsche Telekom, Türktrust oder auch das China Internet Network Information Center. Vertrauen Sie denen wirklich?

Und ein weiteres Problem: Selbst wenn Sie denen vertrauen - was passiert denn, wenn diese Firmen gehackt werden? Und das kam schon vor! Beispielsweise hat man während der Revolution in Ägypten gefälschte Zertifikate von Google gefunden, die aber ordnungsgemäß von einer solchen CA unterschrieben waren; dies ist für eine solche Firma natürlich der Super-GAU (ähnlich, wie wenn man plötzlich Millionen von Personalausweisen fälschen würde!); aber dieser CA vertraut Ihr Browser trotzdem noch!

Und selbst wenn diese Firmen nicht gehackt wurden: Wie stellen die denn fest, dass ich (sebkrause) wirklich der bin, der ich vorgebe zu sein, wenn ich das Zertifikat beantrage? Es gibt zwar CAs, bei denen man wirklich nachweisen muss, dass man derjenige ist (per Ausweis o.ä.) - aber bei anderen reicht es, eine Mail hinzuschicken, und man bekommt das Zertifikat. Einfach so. Und auch diesen CAs vertrauen Sie!

Dies ist der Grund, warum inzwischen nicht wenige Leute sich ihre eigenen Zertifikate ausstellen. Sie verzichten auf die CAs und nehmen in Kauf, dass Ihr Browser beim Besuch ihrer Seite die oben erwähnte Warnung ausgibt; andererseits geben sie Ihnen trotzdem die Möglichkeit, die Seite verschlüsselt zu besuchen - denn für HTTPS braucht man nunmal ein Zertifikat!

CAs sind also vom Ansatz her ein guter Weg, ein Vertrauensmodell im Netz aufzubauen; in der Praxis allerdings wird mancher CA vertraut, bei der das definitiv unangebracht ist - und andersherum...

<< Bug ... Index ... Casimir-Effekt >>