SSL-Zertifikate

16. März 2020 Uwe Stache Recht, Sicherheit & Datenschutz, Serie Serverzertifikate, Themen 2020 0

bb-one.net. IN CAA 0 iodef „mailto:abuse@bb-one.net“

Und so sieht dann beispielhaft die gesamte CAA-Sektion aus:

bb-one.net.  IN CAA 0 issue „sectigo.com“   # Diese Certificate Authority darf Certificate ausstellen
bb-one.net.  IN CAA 0 issuewild „\;“   #Wildcard-Certificate darf niemand ausstellen
bb-one.net.  IN CAA 0 iodef „mailto:abuse@bb-one.net“   # Bei Verstössen gegen die Policy oder anderen Vorkommnissen soll diese Mail-Adresse verständigt werden

Wie funktioniert die Zertifikats-Implementierung?

Da das Zertifikat bei der Kommunikation zwischen Server und Clients mit übertragen werden soll, muss es auf dem Server verfügbar sein. Und der Server muss wissen, was er damit zu tun hat. Der Server muss dazu einige Software-Bibliotheken installiert haben. Dazu gehört z.B. OpenSSL. Der Server wird entsprechend konfiguriert. Hierbei sollte man zwischen maximaler Kompatibilität zu alten Browsern bzw. Betriebs-Systemen und maximaler Sicherheit genau abwägen. Das ist kein Hexenwerk, muss jedoch sehr sorgfältig geschehen, da die Fehlerquellen reichhaltig gestreut sind.

Warum sollte man die Implementierung des Zertfikats überprüfen?

Diesen Punkt überspringen alle gerne mal. Leider ist das eine Unterlassungssünde aus Unkenntnis. Denn diese kann zu unerwünschten Nebenwirkungen führen. Zum Beispiel beugt ein qualitativ gut implementiertes Zertifikat diversen Standard Serverattacken wie der sogenannten POODLE Attack vor. Und es sorgt für eine reibungslose Kompatibilität mit den Betriebssystemen und Browsern der Endgeräte beim Anwender.

Auswertung der ZertifikatsüberprüfungTechnische Perfektion bei der Art und Weise der sauberen Verschlüsselung ist also kein Luxus, sondern eine sinnvolle Notwendigkeit. Deshalb erhalten unsere Kunden in jedem Fall eine von neutraler Stelle durchgeführte umfangreiche Kontrolle und anschließende Bewertung des implementierten Zertifikats. Diese unabhängige Instanz kontrolliert die Richtigkeit des Zertifikates genauso gründlich wie die Qualität der Implementierung. Die anschließende Auswertung ist mehrere Seiten lang und wird mit einer „Schulnote“ abgeschlossen. Unser Ziel ist immer ein A+. Lediglich in Sonderfällen muss auch einmal eine B-Note reichen. Das sind dann die Fälle, in denen der Server ein altes Betriebssystem hat und dies nicht aktualisiert werden kann. Aber eine schlechtere Note sollte man niemals akzeptieren.

Was hat es mit der Gültigkeitsdauer auf sich?

Ein SSL-Zertifikat erhält neben anderen Eigenschaften auch eine Gültigkeitsdauer. In der Regel ist es ein Jahr lang gültig. Danach muss der Betreiber das Zertifikat durch ein neues austauschen. Der Prozess der Beantragung ist identisch mit dem der ersten Beantragung. Es gibt also keine Verlängerung, es muss ein neues Zertifikat beantragt werden.

Wie pflegt man ein Zertifikat richtig?

Wir erwähnten bereits, dass auf dem Server unterstützende Software laufen muss. Da es sich hier eigentlich um ein hochgradig sicherheits-relevantes Thema handelt, sollte klar sein, dass man diese Software jederzeit, regelmässig und sehr zeitnah aktualisieren muss.

Bei Software-Aktualisierungen muss man meistens auch die Implementierung anpassen. Dies ist notwendig, um den gewünschten Sicherheits-Level beizubehalten. Anschließend darf natürlich auch die Qualitätskontrolle des gesamten Konstrukts nicht fehlen. Wir erreichen dies, indem wir die oben beschriebene externe Evaluierung wiederholen und für den Kunden dokumentieren.

Was müssen Sie beachten bzw. tun?

  1. Passende SSL-Zertifikate von kommerziellen Certificate Authorities verwenden.
  2. Das Zertifikat korrekt implementieren.
  3. Das Zertifikat und dessen Implementierung evaluieren lassen.
  4. Die Implementierung während der Laufzeit monitoren und aktualisieren.
  5. Das Zertifikat rechtzeitig erneuern

Welchen Nutzen bringen Zertifikate?

Zusammengefasst gibt es mindestens zwei gute Gründe für die Verwendung von SSL-Serverzertifikaten:

  1. Google verlangt zwingend für jede WebSite ein Zertifikat und bestraft ansonsten durch Downranking.
  2. Die DSGVO verlangt die verschlüsselte Übertragung von personenbezogenen Daten, z.B. bei einem Mail-Formular. Für die dafür eingesetzte Verschlüsselungsoftware OpenSSL brauchen wir ein Zertifikat.

Darüber hinaus hat ein gut implementiertes SSL-Zertifikat weitere positive Nebenwirkungen:

  • Es vermeidet nervige Popups, Warnhinweise und sogar Sperrungen durch Browser und Mail-Clients.
  • Sie können Web-Beschleuniger wie http/2 verwenden, die nur zusammen mit SSL funktionieren.
  • Ein gutes Zertifikat bestärkt das Vertrauen der User. Das schlägt sich in guter Reputation nieder.

Nachtrag

Gemäß unserem Verständnis für Sicherheit halten wir die hier genannten Qualitätsstandards grundsätzlich ein. Wir freuen uns natürlich immer, wenn unsere Kunden trotzdem kritisch nachhaken. Denn dann haben sie verstanden, worum es geht. Aber jede Website-Betreiber, der die Services der BB-ONE.net nutzt, kann sich darauf verlassen, dass wir Standards auch ungefragt einhalten.