Die Fingerprints unserer SSL-Zertifikate
Warum wir keine SSL-Fingerprints auf unserer Webseite veröffentlichen
Verschiedene Nutzer waren verwundert darüber, dass wir auf unserer Webseite nicht die Fingerprints (also den Hashwert) unserer SSL-Zertifikate von Thawte veröffentlichen. Manche Webseiten tun dies – wir jedoch nicht.
Wenn man die Fingerprints von SSL-Zertifikaten überprüfen möchte, geschieht das, um auszuschließen, dass sich ein Dritter („Man-in-the-Middle“) in die Verbindung eingeschaltet und die vermeintlich gesicherte Verbindung mit gefälschten Zertifikaten manipuliert hat.
Ein „Man-in-the-Middle“, dem eine solche Manipulation gelingt, könnte jedoch gleichzeitig auch die Inhalte der Webseite verändern – und damit auch den veröffentlichten SSL-Fingerprint durch einen eigenen ersetzen.
Würde ein Benutzer dann die SSL-Fingerprints überprüfen, würden ihm die manipulierten Fingerprints passend zum gefälschten Zertifikat erscheinen.
Der Nutzer würde fälschlicherweise annehmen, dass die Webseite authentisch ist, und sich in trügerischer – und daher gefährlicher – Sicherheit wiegen.
Wir von mailbox veröffentlichen unsere SSL-Fingerprints daher über einen sicheren, unabhängigen Kanal. Die dafür verwendete Technik heißt DANE und veröffentlicht SSL-Fingerprints direkt im DNS-System der Domain. Damit ein „Man-in-the-Middle“ dort keine Manipulation vornehmen kann, sind die veröffentlichten Daten über das DNSSEC-System mittels kryptografischer Signaturen geschützt. DANE/DNSSEC stellt somit ein sicheres, zweites und unabhängiges Medium dar, über das die Fingerprints der SSL-Zertifikate veröffentlicht werden können.
Moderne Browser – oder entsprechende Plug-ins – können die DANE-Einträge einer Webseite überprüfen und den Nutzer beispielsweise durch eine farbliche Markierung über die Authentizität des SSL-Zertifikats informieren.
Alternativ können Sie einen unabhängigen Dienst zur Verifikation des SSL-Zertifikats nutzen, der den entsprechenden DNS-Eintrag für Sie ausliest, zum Beispiel:
https://www.huque.com/bin/danecheck