Was ist ein selbstsigniertes Zertifikat?

Teaser Zertifikat

Einführung

Wenn Sie eine Fehlermeldung erhalten wegen einem selbstsignierten Zertifikat kann das zwei Gründe haben.

  1. Sie besuchen eine sichere Webseite (SSL) z. B. einer Hochschule, Intranet, Login Content System, welche einem kleinen, bekannten Benutzerkreis zur Verfügung gestellt wird.
  2. Sie werden gerade Opfer eines Hackerangriff per "Middle-of-the-Man" Attack *.

* Der zweite Grund klingt überzogen und Sie sollten hier nur alarmiert sein, wenn der SSL Zertifikatsfehler z. B. beim Online Banking auftaucht, wo es sehr hohe Sicherheitsanfoderungen gibt.

Sie stellen sich nun berechtigt die Frage was ist ein selbstsignierten Zertifikat und was soll ich tun? Lesen Sie dazu kurz zum Verständnis was ein SSL Zertifikat ist.

SSL Verbindung nur mit Zertifikat

Für eine "abhörsichereSSL Verbindung, bei der Daten verschlüsselt übermittelt werden muß ein Zertifikat vorhanden sein. Mit einem Zertifikat bestätigt der Aussteller vom Zertifikat, dass die Webseite, die Sie gerade besuchen auch die Identität stimmt und auch diese Webseite ist.

Beachten: Es hilft wenig per SSL Webseiten aufrufen, aber am anderen Ende sitzt "jemand ganz anderes". Genau hier setzt die Idee vom einem sicheren Zertifikat an.

Dafür lassen sich die (inoffiziellen) Zertifikatsstellen gut bezahlen und es fallen dann Kosten an. Um Geld zu sparen kann der Webmaster  für kleine und bekannte Gruppen oder Benutzerkreise ein „selbstsigniertes Zertifikat“ ausstellen. Im Prinzip bestätigt nicht ein Dritter, dass man "echt" ist - sondern man bestätigt sich das selber.

Das Problem dabei ist jedoch, dass eine Warnmeldung im Browser angezeigt wird, die Sie warnt vor der "unbekannten Zertifizierungsstelle". Das liegt daran, dass der Aussteller vom Zertifikat nicht am Ihrem Browser hinterlegt wurde und daher als unbekannt und unsicher eingestuft wird.

Bsp.:

Firma Testmann mit der Domain "testmann.de" will für seine 5 Vertreter einen sicheren Login per SSL anbieten. Damit man die ca. 50.- bis 150.- EUR p.a. spart, stellt der Webmaster selber als Zertifizierungstelle "Testmann" ein Zertifikat für "Testmann" aus.  Der Browser von dem Vertreter Muster kennt aber keine Zertifizierungstelle "Testmann" und sendet eine Warnmeldung. Verteter Muster akzeptiert aber das Zertifikat von dem unbekannten Aussteller damit er sicher per SSL verbinden kann.

Selbstsigniertes Zertifikat akzeptieren?

Man kann einfach das „selbstsigniertes Zertifikat“ akzeptieren um das dauerhaft am Browser zu hinterlegen.

Beachte: Nur wenn die Gegenstelle auch wirklich die Gegenstelle ist und z. B. kein "Online Banking".

Die inoffizielle Zertifikatsstelle "Testmann" bekommt nun einen „offiziellen“ Charakter. Ihr Browser „kennt“ also bestimmte Aussteller eines Zertifikates und Sie erhalten keine Warnmeldung bis zum Tag des Ablaufs (ca. 1 - 2 Jahre).

Hier liegt das Problem für den Browser beim „selbstsignierten Zertifikat“. In diesem Fall stellt sich jemand selber ein Zertifikat aus, dass er dieser jemand wirklich ist. Dieser „jemand“ kennt der Browser nicht und zeigt Ihnen eine Warnmeldung an.

Voraussetzungen SSL mit selbstsignierten Zertifikat

  • Bei der ersten Verbindung akzeptiert man das „selbstsignierte Zertifikat" und hinterlegt es im Browser
  • SSL und TLS aktiviert im Browser

1. Aktivieren und Einstellen

Rufen Sie die Webseite auf, die eine SSL - Verbindung erlaubt. Sie können es auch mit https://www.kliggs.de versuchen.

Die URI beginnt immer mit „HTTPS“ Im Browser Firefox erhalten Sie z. B. folgende Meldung.

Klicken Sie „Ich kenne das Risiko“

2. Das Fenster vergrössert sich und gibt Ihnen weitere Informationen

Klicken Sie „Ausnahme hinzufügen“

3. Zertifikat herunterladen und hinterlegen

Als nächstes geht ein Fenster auf, hier können Sie das Zertifikat herunterladen und an Ihrem Browser hinterlegen.

Klicken Sie „Zertifikat herunterladen“

Nachdem das Zertifikat heruntergeladen ist müssen Sie noch einmal bestätigen. Wenn Sie nicht wiederholt die Warnmeldung sehen wollen, dann muss der Haken „Diese Ausnahme...“ akiviert sein.

Klicken Sie „Sicherheit-Ausnahmeregel bestätigen“

Fertig nun ist das Zertifikat an Ihrem Browser installiert und hinterlegt. Ihr Browser kennt nun den Aussteller von dem Zertifikat. Sie können das nun kontrollieren welche Zertifikate hinterlegt sind und welche „Zertifizierungsstellen“ Ihr Browser kennt.

Klicken Menü > Firefox > Einstellungen

Wählen Sie den Reiter „Erweitert“

Klicken Sie unten den Button „Zertifikate anzeigen“

Das selbstsignierte Zertifikat sollte nun dauerhaft (bis Ablaufdatum) hinterlegt sein.

Chrome Browser

Der Google Chrome Browser mag ein selbstsigniertes Zertifikat gar nicht und bringt eine einschüchternde Meldung:

[alert type="danger"]Dies ist keine sichere Verbindung[/alert]

Die Warnmeldung mag für den normalen Internet Nutzer gut sein - genau genommen stimmt es nicht. Die Verbindung ist sicher nur das Zertifikat nicht (weil selber ausgestellt). Dies sieht man dann auch, wenn man auf ein kaum sichtbare Link klickt (Bild roter Pfeil).

Kann man vertrauen?

Im Prinzip Ja, wenn Sie wissen mit welchen Server Sie sich verbinden und Sie wissen was Sie tun. Ansonsten Nein bei z. B. bei Banken o.ä. Webseiten wo es um Geld, Gebühren, eMail etc geht.

Wie eingangs schon erwähnt. Eine sichere Internetverbindung zwischen zwei "Endpunkten" per SSL erfordert ein Zertifikat. Browser vertrauen nur Zertifikate, bei denen der Web Browser (Betriebssystem) die Certficate Authority (CA) kennt. Man kann also ein  selfsigned Certificate vertrauenswürdig machen, in dem man es am Browser (Betriebssystem) dauerhaft hinterlegt. Dazu gibt es unter den Erweiterten Einstellungen die Funktion "Zertifikate verwalten".

Von dem Moment an bekommen Sie nicht mehr die Warnung, dass man dem selbstausgestelltes SSL-Zertifikat nicht vertrauen kann.

Neue Lösung

Wer für eine Domain ein SSL Zertifikat braucht um sichere SSL / TLS Verbindungen bereitstellen zu können ohne die teils lästigen Browser Meldungen. Dafür gibt es jetzt die kostenlose Lösung mit Let's Encrypt. Verschiedene Provider bieten die Installation mit dem Admin Panel schon an und damit verbleibt nur noch die Einschränkung, dass ältere Clients bzw. Brwoser damit ein Problem haben. Dazu kann man aber hier die Liste der Kompatibilität einsehen.

Fazit

Das selbst signieren heisst, jemand bestätigt sich selber, dass er das ist. Je nachdem wie groß die Gruppe der Nutzer ist, kann das selbst signieren von SSL Zertifikaten eine schnelle und günstige Lösung sein. Viele Provider empfehlen das um den Login von Wordpress, Joomla oder Drupal etc. kostenlos abzusichern.

Wer günstig ein von einer dritten Zertifizierungsstelle ausgestelltes Zertifikat haben will geht z. B. zu rabidSSL.com. Bei außereuropäischen Anbieter gibt es jedoch zu bedenken, dass seit dem NSA Skandal, die Verwaltung der SSL Schlüssel bei den Anbietern (engl.: Certificate Authority) aus USA als wenig vertrauenswürdig anzusehen sind.

Daher wären erst mal die wenigen deutschen oder schweizer Anbieter zu empfehlen. Für kleine Projekte reicht meist ein günstiges Domain validiertes SSL-Zertifikat. Nach dem viele schon moderen Web-Browser verwenden, sind kostenlose SSL Zertifikate mit Let's Encrypt die beste Wahl.

Weitere Informationen