Die Fingerprints unserer SSL-Zertifikate
Verschiedene Nutzer waren verwundert darüber, dass wir auf unserer Webseite nicht die Fingerprints (also den Hashwert) unserer SSL-Zertifikate von Thawte veröffentlichen. Manche Webseiten machen das – wir jedoch nicht.
Wenn man die Fingerprints von SSL-Zertifikaten überprüfen will, so macht man dies, um auszuschließen, dass sich ein Dritter (Man-in-the-Middle) in die Verbindung eingeschaltet und die gesichert erscheinende Verbindung mit gefälschten Zertifikaten manipuliert hat.
Ein Man-in-the-Middle, dem solch eine Manipulation gelingen würde, könnte jedoch im gleichen Moment auch die Inhalte der Webseite verändern und dadurch auch den veröffentlichten SSL-Fingerprint gegen einen eigenen SSL-Fingerprint austauschen.
Würde dann ein Benutzer die SSL-Fingerprints überprüfen, so würden ihm die manipulierten SSL-Fingerprints zu dem manipulierten Zertifikat passend erscheinen. Dieser Anwender würde darauf schließen, dass die Webseite authentisch ist, und sich einer trügerischen (und darum gefährlichen) Sicherheit hingeben.
Wir von mailbox veröffentlichen unsere SSL-Fingerprints daher auf einem sicheren, dritten Kanal. Die dafür verwendete Technik heißt DANE und veröffentlicht SSL-Fingerprints direkt im DNS-System der Domain. Damit hier ein Man-in-the-Middle keine Möglichkeit hat, Manipulationen vorzunehmen, sind die dort veröffentlichten Daten über das DNSSEC-System mittels eigener kryptographischer Signaturen geschützt. DANE / DNSSEC stellt darum ein sicheres, zweites und unabhängiges Medium dar, mit dem die Fingerprints der SSL-Zertifikate veröffentlicht werden können.
Moderne Browser – oder entsprechend moderne Plug-ins – können die DANE-Einträge einer Webseite überprüfen und den Nutzer z. B. durch eine farbliche Markierung über die Authentizität des SSL-Zertifikats informieren.
Alternativ können Sie auf einen unabhängigen Dienst zur Verifikation des SSL-Zertifikats zurückgreifen, der den entsprechenden DNS-Eintrag für Sie auslesen kann – zum Beispiel:
https://www.huque.com/bin/danecheck.