Vor 20 Jahren wurde im Netzwerk Insider über Zertifikate im E-Commerce informiert. Dabei wurden Verschlüsselungsmechanismen ebenso erläutert wie die Zertifikatshierarchie und mögliche Schwachstellen. Wie war damals der Stand? Und was hat sich seitdem getan?
Verschlüsselung und Zertifikate damals
Vor 20 Jahren war Verschlüsselung zwar auf theoretischer Ebene schon sehr weit, der korrekte Einsatz aber noch nicht in allen Köpfen angekommen. Und gerade die Erstellung und Verwaltung von Zertifikaten gestaltete sich als Herausforderung, doch war ebenfalls klar: „Einen universellen Sicherheitsserver mit Sorglos-Garantie wird es auf absehbare Zeit nicht geben.“
Verschlüsselung und Zertifikate heute
In vielen Bereichen ist die Verschlüsselung von Daten heute der Regelfall. Festplatten können einfach verschlüsselt werden; alle gängigen Betriebssysteme liefern entsprechende Funktionen mit. Auch im E-Commerce und bei Diensten, die mit User-generiertem Inhalt funktionieren, ist eine Verschlüsselung zwischen Client und Server die Regel. Google Chrome versucht sogar grundsätzlich, eine Webseite zunächst per HTTPS anzusteuern. Erst wenn das nicht funktioniert, wird auf das unsichere HTTP umgeschwenkt. Jedoch ist ein Aspekt von damals auch heute noch das Zertifikatsmanagement. Eigene Zertifikate sind nach wie vor mit einem erheblichen Aufwand verbunden, wenn sie von einer vertrauenswürdigen Root-CA signiert werden sollen. Ist das nicht der Fall, schlagen Browser Alarm, weil die Zertifikatsprüfung fehlschlägt.
Apropos Zertifikatsprüfung: Dieser sehr wichtige Schritt zur Identifizierung der Gegenseite wird bei manchen Applikationen nicht konsequent eingesetzt, oder von Usern ignoriert. Wohl hat man dann eine verschlüsselte Verbindung, jedoch ist unklar, mit wem man gerade Daten austauscht.
Fazit
Schon vor 20 Jahren wurde erläutert, dass eine einfache, sichere und günstige Verschlüsselung nicht möglich ist. Man kann höchstens zwei dieser drei Eigenschaften erlangen. Bis heute hat sich daran nichts geändert und das Zertifikatsmanagement, sowohl auf Serverseite (Erstellung) als auch auf Client-Seite (Überprüfung), bleibt spannend. Zwar gibt es mit Initiativen wie Let’s Encrypt mittlerweile vereinfachte Ansätze, jedoch sind diese nicht für alle Unternehmen geeignet.