Zum Hauptinhalt springen

Antworten für Privatkunden

Die Knowledge-Base für Privatkunden ist bereits weitgehend auf dem neuesten Stand. Vereinzelt werden einzelne Artikel aktuell noch überarbeitet und zeitnah angepasst. Wir danken Ihnen für Ihr Verständnis und freuen uns, Ihnen stets aktuelle Informationen zur Nutzung von mailbox bereitzustellen.

Bitte beachten Sie: Die Knowledge Base hat sich ein wenig verändert. Kategorien wurden angepasst und ggf. hinterlegte URLs aus der alten Knowledge Base sind nicht mehr gültig.

Die Fingerprints unserer SSL-Zertifikate

Verschiedene Nutzer waren verwundert darüber, dass wir auf unserer Webseite nicht die Fingerprints (also den Hashwert) unserer SSL-Zertifikate von Thawte veröffentlichen. Manche Webseiten machen das – wir jedoch nicht.

Wenn man die Fingerprints von SSL-Zertifikaten überprüfen will, so macht man dies, um auszuschließen, dass sich ein Dritter (Man-in-the-Middle) in die Verbindung eingeschaltet und die gesichert erscheinende Verbindung mit gefälschten Zertifikaten manipuliert hat.

Ein Man-in-the-Middle, dem solch eine Manipulation gelingen würde, könnte jedoch im gleichen Moment auch die Inhalte der Webseite verändern und dadurch auch den veröffentlichten SSL-Fingerprint gegen einen eigenen SSL-Fingerprint austauschen.

Würde dann ein Benutzer die SSL-Fingerprints überprüfen, so würden ihm die manipulierten SSL-Fingerprints zu dem manipulierten Zertifikat passend erscheinen. Dieser Anwender würde darauf schließen, dass die Webseite authentisch ist, und sich einer trügerischen (und darum gefährlichen) Sicherheit hingeben.

Wir von mailbox veröffentlichen unsere SSL-Fingerprints daher auf einem sicheren, dritten Kanal. Die dafür verwendete Technik heißt DANE und veröffentlicht SSL-Fingerprints direkt im DNS-System der Domain. Damit hier ein Man-in-the-Middle keine Möglichkeit hat, Manipulationen vorzunehmen, sind die dort veröffentlichten Daten über das DNSSEC-System mittels eigener kryptographischer Signaturen geschützt. DANE / DNSSEC stellt darum ein sicheres, zweites und unabhängiges Medium dar, mit dem die Fingerprints der SSL-Zertifikate veröffentlicht werden können.

Moderne Browser – oder entsprechend moderne Plug-ins – können die DANE-Einträge einer Webseite überprüfen und den Nutzer z. B. durch eine farbliche Markierung über die Authentizität des SSL-Zertifikats informieren.

Alternativ können Sie auf einen unabhängigen Dienst zur Verifikation des SSL-Zertifikats zurückgreifen, der den entsprechenden DNS-Eintrag für Sie auslesen kann – zum Beispiel:
https://www.huque.com/bin/danecheck.