Vertrauenswürdige Sicherheitszertifikate werfen die Frage nach der SSL-Zuverlässigkeit auf.

Als Verbraucher haben wir gelernt, dem Vorhängeschloss-Symbol zu vertrauen, das in der Adressleiste unserer Browser angezeigt wird. Uns wird gesagt, dass dies ein Zeichen dafür ist, dass unsere Kommunikation mit einer Website sicher ist. Aber ein Vorfall dieser Woche, an dem Google und ein türkisches Sicherheitsunternehmen beteiligt sind, widerlegt diese Vorstellung.

Die Firma TurkTrust hat diese Woche enthüllt, dass sie im August 2011 versehentlich zwei Hauptschlüssel an zwei "Entitäten" ausgegeben hat. Master-Schlüssel, die als Intermediate-Zertifikate bezeichnet werden, ermöglichen es den Entitäten, digitale Zertifikate für jede Domäne im Internet zu erstellen.

Digitale Zertifikate sind tatsächlich Verschlüsselungsschlüssel, die verwendet werden, um zu bestätigen, dass eine Website das ist, was sie sagt. Das Zertifikat für Ihre Bank bestätigt beispielsweise Ihrem Browser, dass Sie beim Online-Banking tatsächlich mit Ihrer Bank sprechen.

[Lesen Sie weiter: So entfernen Sie Malware von Ihrem Windows-PC]

Zertifikate werden verwendet um Informationen zwischen Ihnen und einer Website zu verschlüsseln. Das bedeutet das grüne Vorhängeschloss in der Adressleiste Ihres Browsers. Der Browser kommuniziert nach Überprüfung der Authentizität mit der Website über Secure Sockets Layer.

Ein Internetmissbraucher mit gefälschtem Zertifikat, der die Kommunikation zwischen Ihnen und einer vertrauenswürdigen Website abfangen kann, kann Ihren Browser glauben machen, dass er mit der vertrauenswürdigen Site kommuniziert und entführe deine Kommunikation. Das nennt man einen "Man in the Middle Attack", weil der Dieb zwischen dir und der vertrauenswürdigen Seite sitzt.

Fehler behoben, Problem weiterhin

Der Fehler von TurkTust wurde von Google am Weihnachtsabend durch eine Funktion in seinem Chrome-Browser entdeckt eine Plattform, die eine rote Flagge an Google setzt, wenn jemand versucht, die Plattform mit einem nicht autorisierten Zertifikat zu benutzen.

Nachdem das Zertifikatproblem entdeckt wurde, informierte Google TurkTrust über die Situation, sowie Microsoft und Mozilla, die alle ihre Browserplattformen modifiziert haben um Rogue-Zertifikate zu blockieren, die mit der zwischengeschalteten Zertifizierungsstelle erstellt wurden.

Dieses Zertifikat ist nur das neueste Zeichen dafür, dass das bestehende System zur Ausstellung digitaler Zertifikate repariert werden muss. Im März 2011 wurde beispielsweise ein mit der Zertifikatsausstellbehörde Comodo verbundenes Unternehmen verletzt und neun gefälschte Zertifikate ausgestellt.

Später im Jahr durchbrachen Hacker eine niederländische Zertifizierungsstelle, DigiNotar, und stellten Dutzende gefälschter Zertifikate aus, darunter eines für Google. Die Konsequenzen aus diesem Vorfall brachten das Unternehmen aus dem Geschäft.

Gesucht: Next-Gen-Sicherheit

Eine Reihe von Vorschlägen wurden ausgestrahlt, um die Sicherheitsprobleme rund um Zertifikate anzugehen.

Es gibt Konvergenz. Es ermöglicht einem Browser, eine zweite Meinung über ein Zertifikat von einer Quelle zu erhalten, die von einem Benutzer ausgewählt wurde. "Es ist eine brillante Idee, aber sobald man sich in einem Unternehmensnetzwerk befindet und hinter einem Proxy oder hinter einem Netzwerkübersetzer steckt, kann es zerbrechen", sagte Chet Wisniewski, Sicherheitsberater bei Sophos, in einem Interview.

Da ist DNSSEC. Es verwendet das Domain Naming Resolution System (das System, das die gebräuchlichen Namen von Websites in Zahlen umwandelt), um eine vertrauenswürdige Verbindung zwischen Benutzer und Website herzustellen. Das System ist nicht einfach zu verstehen, aber die Implementierung könnte Jahre dauern.

"Das Problem mit DNSSEC ist, dass es eine neue Technologie und eine koordinierte Aktualisierung der Infrastruktur erfordert, bevor wir sie nutzen können", sagte Wisniewski. "Mit den bisherigen Akzeptanzraten haben wir keine Lösung für zehn oder 15 Jahre. Das ist nicht gut genug."

Außerdem werden zwei "Pinning" -Techniken vorgeschlagen - Public Key Pinning Erweiterung für HTTP und Trusted Assertions für Zertifikatsschlüssel (TACK), die ähnlich sind.

Sie ermöglichen es einer Website, einen HTTP-Header zu ändern, um vertrauenswürdige Zertifizierungsstellen zu identifizieren. Ein Browser speichert diese Informationen und stellt nur dann eine Verbindung zu einer Website her, wenn er ein Zertifikat empfängt, das von einer Zertifizierungsstelle signiert wurde, der die Website vertraut.

Die Pinning-Vorschläge sind laut Wisniewski am wahrscheinlichsten, um das Zertifikatsproblem zu lösen. "Sie könnten in kurzer Zeit angenommen werden", sagte er. "Sie ermöglichen es Benutzern, die die Vorteile der erweiterten Sicherheit nutzen möchten, dies sofort zu tun, bricht jedoch keinen vorhandenen Webbrowser, der nicht aktualisiert wird."

Was auch immer die Hersteller von Schemabrowsern tun, um das Zertifikatsproblem zu lösen, müssen sie Mach es bald. Sonst wird sich Snafus weiter vermehren und das Vertrauen in das Internet könnte irreparabel geschädigt werden.