Sicherheit: Wo sich überall Stammzertifikate verstecken

Der Inhalt von "Trust Stores" entscheidet, welchen Zertifikaten eine Software vertraut. Wir zeigen exemplarisch, welche Faktoren Sie selbst beeinflussen können.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen
, Andreas Martini

(Bild: Andreas Martini)

Lesezeit: 10 Min.
Von
Inhaltsverzeichnis

Bevor ein Browser oder eine andere Software mit einem Server per TLS kommuniziert, prüft das Programm – oder vielmehr eine darin eingebaute Bibliothek – das von der Gegenstelle vorgelegte Zertifikat. Denn damit wird die Verbindung verschlüsselt und Ihre Privatsphäre vor Lauschangriffen geschützt. Für dieses Zertifikat bürgt ein übergeordnetes Zertifikat, für das möglicherweise ein weiteres Zertifikat bürgt, und so weiter.

Kryptografisch sind auch lange Zertifikatsketten sicher, doch jede Kette hat ein Ende; dem letzten Zertifikat muss die Software schlicht vertrauen. Sie benötigt also eine Liste mit vertrauenswürdigen (Wurzel-)Zertifikaten, einen sogenannten "Trust Store". Der müsste wohl unfreiwillig erweitert werden, wenn die EU mit der eIDAS-Novelle Ernst macht und die Akzeptanz ihrer "qualifizierten Webseitenzertifikate" (QWAC) erzwingt. Zeit sich anzusehen, wie man unerwünschte Zertifikate von den eigenen Geräten bannt.

Mehr zu digitaler Identität und Recht

Wenn Sie jetzt davon ausgehen, dass eine so fundamentale Liste, die Browser, Mailprogramme, Chatsoftware und viele andere Anwendungen gleichermaßen dringend benötigen, nur einmal an zentraler Stelle im Betriebssystem eingebaut ist, müssen wir Sie leider enttäuschen. Stattdessen köcheln viele Suppen parallel auf Ihren Geräten. Die Frage, wie man eventuell aufgezwungene EU-Stammzertifikate entfernt, falls es nötig würde, fällt also nicht leicht zu beantworten.

Das war die Leseprobe unseres heise-Plus-Artikels "Sicherheit: Wo sich überall Stammzertifikate verstecken". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.