Posteo testet Certificate Pinning

Der E-Mail-Provider Posteo setzt als einer der ersten deutschen Internet-Dienstanbieter ein recht neues Konzept ein, um Verschlüsselung im Web sicherer zu gestalten.

In Pocket speichern vorlesen Druckansicht 96 Kommentare lesen
Pinning
Lesezeit: 2 Min.

Certificate Pinning ist ein vergleichsweise junger Standard, der antritt, das Vertrauen in die Verschlüsselung im Web wieder herzustellen. Ein recht einfacher Eingriff in den eigenen Server kann die meisten Fälle von Zertifikatsmissbrauch verhindern. Mit Posteo testet der erste größere deutsche Dienst dieses Konzept nun im Praxis-Einsatz.

Die Sicherheit einer TLS-Verbindung beruht darauf, dass man auch tatsächlich mit der richtigen Gegenstelle verbunden ist. Das garantieren sogenannte Zertifizierungsstellen (Certification Authorites, CAs), die die Identität eines Dienstbetreibers prüfen und dann mit ihrer digitalen Unterschrift beglaubigen. Das Problem dabei: Es gibt zu viele davon und die Liste der CAs, die dieses Vertrauen bereits missbraucht haben, ist lang. Erst kürzlich wurde etwa Symantec, immerhin Herr über die CAs Verisign, Thawte und RapidSSL, dabei erwischt, unberechtigterweise zu "Testzwecken" Zertifikate auf Google-Domains ausgestellt zu haben.

Mit Certificate Pinning kann ein Server-Betreiber festlegen, welche Zertifikate ein Browser zukünftig für seine Domain akzeptieren soll. Das funktioniert dann mit Chrome, Firefox und Opera; nur Internet Explorer, Edge und Safari haben den Internet Standard zu Public Key Pinning Extension for HTTP (RFC 7469) noch nicht umgesetzt.

Auf Server-Seite ist der Einsatz von Pinning noch nicht weit verbreitet. Einige große Dienste wie Google, Facebook und Twitter nutzen es zwar; sie verlassen sich dabei jedoch auf fest im Browser verankerte Pins. Internet-Dienste, die auf das dynamische HTTP Public Key Pinning (HPKP) setzen, muss man derzeit noch mit der Lupe suchen. Posteo ist einer der ersten deutschen Anbieter, die das derzeit im Praxiseinsatz erproben. Wer die vom Server ausglieferten Header prüft, findet dort den Eintrag

Public-Key-Pins: pin-sha256="HuTEMYw..."; ...; max-age=900

der die Posteo-Zertifikate festnagelt. Mehr dazu, wie Certificate Pinning funktioniert, wie man es selber einsetzen kann und was dabei zu beachten ist, erklärt ein Artikel-Schwerpunkt "SSL wird sicherer" in der aktuellen c't-Ausgabe.

Siehe dazu auch:

  • Festgenagelte Zertifikate; TLS wird sicherer durch Certificate Pinning, c't 23/15 Seite 118
  • Sicher mit Pin; Zertifikats-Pinning auf dem eigenen Server, c't 23/15 Seite 122

(ju)