Richtig verschlüsseln mit Firefox 3
Seite 2: Selbstgebaute Zertifikate
Ein weiteres Problem sind die sehr unglücklich gewählten Formulierungen in den weiterführenden Informationen zu https-Sites, die den erweiterten Obulus an Verisign & Co verweigert haben. Trotz des gültigen, von einer Zertifizierungsstelle beglaubigten Zertifikates erhalten die Besucher Meldungen wie diese:
Die widersprüchlichen Aussagen "Diese Website bietet keine Informationen an, um ihre Identität zu bestätigen" und "Diese Website bietet ein Zertifikat an, um ihre Identität zu bestätigen" verwirren den vorsichtigen Anwender statt ihn zu informieren. Nützlicher sind da schon die ebenfalls hinzugekommenen Informationen, ob und wie oft man die Seite bereits besucht hat.
Selbstgestricktes
Noch schlimmer als die Sites mit herkömmlichen SSL-Zertifikaten trifft es die Betreiber von Servern, die kein Geld ausgeben und sich ihr Zertifikat von einer Community-basierten Zertifizierungsstelle wie CAcert unterschreiben lassen oder das einfach selber tun. Deren Besucher bekommen mit Firefox 3 nämlich statt einer Warnung, die man wegklicken kann, eine Fehlerseite mit der Überschrift "Sichere Verbindung fehlgeschlagen".
Den Versuch, eine Ausnahme zu definieren, quittiert der Browser zunächst mit dem Hinweis, dass man das besser sein lassen sollte. Damit dürfte ein Großteil der potenziellen Besucher abgewimmelt sein. Nur wer hartnäckig darauf beharrt, eine Ausnahme hinzufügen zu wollen, landet beim nächsten Dialog, wo man das Zertifikat laden kann.
Doch ausgerechnet hier bleiben die sicherheitsbewussten Entwickler auf halbem Weg stehen und versäumen es, darauf hinzuweisen, dass man den Fingerabdruck des Schlüssels überprüfen muss, um sich Gewissheit über dessen Echtheit zu verschaffen.
Dummerweise blockiert die Zertifikatsansicht dann auch noch das Browser-Fenster, sodass man sich nicht einmal im Web weitere Informationen zu den dargestellten Rohdaten verschaffen kann. Und obwohl die meisten Ausnahmen wohl eher "nur mal eben schnell ..." angelegt werden, speichert sie Firefox standardmäßig gleich dauerhaft ab.
Ausnahmsweise
Insbesondere im universitären Umfeld wird viel mit selbst signierten Zertifikaten gearbeitet, aber auch firmenintern sehen es Admins oft nicht ein, für die Intranet-Server jährliche Gebühren an eine CA abzuführen. Hier muss man die Anwender möglichst gezielt durch diesen Ausnahmedschungel leiten, um beispielsweise das Zertifikat der Firmen-CA zu importieren. Das Wichtigste dabei ist es, sie dazu zu bewegen, den MD5- oder SHA-1-Fingerabdruck mit vertrauenswürdigen Informationen aus einer unabhängigen Quelle zu vergleichen. Eine E-Mail mit dem Link zum CA-Zertifikat gehört übrigens nicht in diese Kategorie.
