Zum Hauptinhalt springen

Antworten für Unternehmen

Die Business-Knowledge-Base wird aktuell überarbeitet. Schon bald finden Sie hier aktualisierte Inhalte und erweiterte Informationen, die Ihnen einen noch besseren Überblick über unsere Produkte und Services geben. Wir danken Ihnen für Ihre Geduld und Ihr Verständnis.

Bitte beachten Sie: Die Knowledge Base hat sich ein wenig verändert. Kategorien wurden angepasst und ggf. hinterlegte URLs aus der alten Knowledge Base sind nicht mehr gültig.

Die Fingerprints unserer SSL-Zertifikate

Warum wir keine SSL-Fingerprints auf unserer Webseite veröffentlichen

Verschiedene Nutzer waren verwundert darüber, dass wir auf unserer Webseite nicht die Fingerprints (also den Hashwert) unserer SSL-Zertifikate von Thawte veröffentlichen. Manche Webseiten tun dies – wir jedoch nicht.

Wenn man die Fingerprints von SSL-Zertifikaten überprüfen möchte, geschieht das, um auszuschließen, dass sich ein Dritter („Man-in-the-Middle“) in die Verbindung eingeschaltet und die vermeintlich gesicherte Verbindung mit gefälschten Zertifikaten manipuliert hat.

Ein „Man-in-the-Middle“, dem eine solche Manipulation gelingt, könnte jedoch gleichzeitig auch die Inhalte der Webseite verändern – und damit auch den veröffentlichten SSL-Fingerprint durch einen eigenen ersetzen.
Würde ein Benutzer dann die SSL-Fingerprints überprüfen, würden ihm die manipulierten Fingerprints passend zum gefälschten Zertifikat erscheinen.

Der Nutzer würde fälschlicherweise annehmen, dass die Webseite authentisch ist, und sich in trügerischer – und daher gefährlicher – Sicherheit wiegen.

Wir von mailbox veröffentlichen unsere SSL-Fingerprints daher über einen sicheren, unabhängigen Kanal. Die dafür verwendete Technik heißt DANE und veröffentlicht SSL-Fingerprints direkt im DNS-System der Domain. Damit ein „Man-in-the-Middle“ dort keine Manipulation vornehmen kann, sind die veröffentlichten Daten über das DNSSEC-System mittels kryptografischer Signaturen geschützt. DANE/DNSSEC stellt somit ein sicheres, zweites und unabhängiges Medium dar, über das die Fingerprints der SSL-Zertifikate veröffentlicht werden können.

Moderne Browser – oder entsprechende Plug-ins – können die DANE-Einträge einer Webseite überprüfen und den Nutzer beispielsweise durch eine farbliche Markierung über die Authentizität des SSL-Zertifikats informieren.

Alternativ können Sie einen unabhängigen Dienst zur Verifikation des SSL-Zertifikats nutzen, der den entsprechenden DNS-Eintrag für Sie ausliest, zum Beispiel:
https://www.huque.com/bin/danecheck