SSL-gesicherte Web-Seiten - Was ist da wie "sicher"?

Workshop 2+1 Stunden
Martin Neitzel, Gaertner Datensysteme

Ob Online-Banking, Google, oder Twitter: Viele Web-Seiten sind mit einem schicken Schloss oder gruenen Balken bei ihrer Adresse markiert.

Aber was bedeutet das Extra-S bei den https://-Seiten? Was alles ist da "sicher"? Was nicht? Was ist so ein "SSL-Zertifikat", wo kommt das her, und wie ueberprueft man dessen Echtheit? Wie ist die Warnung zu bewerten, die man beim Zugriff auf https://chemnitzer.linux-tage.de/ erhaelt, und wann muss man Angst bekommen, dass man gar nicht bei seiner eigenen Bank gelandet ist, sondern bei einem Betrueger?

Dieser Workshop ist auf 2+1 Stunden ausgelegt.

Die ersten beiden Stunden sind fuer alle, die das Web benutzen

• Was tolles soll mittels HTTPS / SSL erreicht werden?
• Funktionsweise Public-Key-Kryptographie: Verschluesseln, Entschluesseln, und Digitales Signieren mittels privater und oeffentlicher Schluessel.
• Bedeutung und Aufbau eines "Zertifikats".
• PKIs ("Public Key Infrastructures"): Was sind Stamm- oder Zwischen-Zertifikate, wie kommen die in den Browser, und wieso soll ich denen vertrauen?
• Welche Zertifikats-Varianten gibt es? Was fuer Preise sind da ueblich und wie laeuft die Beschaffung im Groben ab? Was ist mit selbstgemachten Zertifikaten?
• Welche Angriffe sind moeglich? Wie sehr muss ich auf meine Schluessel achten, und was passiert, wenn jemand anders die hat? Was ist dann zu tun? Schuetzt HTTPS vor Phishing-Angriffen?
• Und last not least: Wie ueberpruefe ich denn nun, ob die die Webseiten meiner Bank die Webseiten meiner Bank sind?

Wichtigstes Hilfsmittel wird dabei die gute alte Tafel sein. Natuerlich gucken wir uns auch im Firefox- oder Chromium-Browser SSL-Details an, aber es braucht kein eigener Laptop mitgebracht zu werden; wichtig ist nur ein klarer, kritischer Kopf.

Dritte Workshop-Stunde: Erstellung eines Zertifikats

Fuer reine Anwender wird dieser Teil nicht nicht wichtig sein -- es ist voellig OK, sich nach den ersten beiden Stunden zu verabschieden.

Dieser Teil ist fuer alle interessant, die ihren Webserver durch ein wahlweise selbstgemachtes oder eingekauftes Zertifikat veredeln wollen. Dieselben Zertifikate kommen aber auch noch in anderen Zusammenhaengen vor:

1. OpenVPN-Tunnel
2. IPSEC-Tunnel
3. Email-Verschluesselung End-zu-Ende mittels S/MIME
4. Email-Verschluesselung zwischen Mail-Servern mittels TLS

In allen Faellen wird dieselbe "X.509"-Zertifikats-Technik verwendet.

Das "Schweizer Taschenmesser" zum Umgang mit Zertifikaten ist das Werkzeug "openssl" mit vielen, vielen Unter-Kommandos. Wir werden damit:

• Eine kleine eigene Zertifizierungs-Stelle ("CA") aufbauen
• Alle Schritte zur Zertifikats-Erstellung absolvieren:
  1. Erzeugung eines Schuesselpaares
  2. Erzeugung eines Zertifikats-Antrags
  3. Signieren des Antrags (d.h. Erstellung des Zertifikats)
• Benutzung des Zertifikats in der Weberserver-Konfiguration
• Verhalten des Browsers dabei
• Antrag fuer und Beschaffung von einem "offiziellen" Zertifikat, sofern dafuer noch Zeit sein sollte.

Zum Workshop-Leiter

Als Internet-Service-Provider habe ich jede Woche mit Zertifikaten zu tun, sei es fuer offizielle Webserver oder Intranet-VPN-Tunnel. Ich habe letztes Jahr einen fuenfstelligen Umsatz durch Zertifikate gemacht, waere aber insgesamt gluecklicher, wenn die Kunden weniger Geld fuer die Zertifikate ausgeben und stattdessen mehr Muehe in Anwender-Schulung investieren wuerden.

Bisherige CLT-Beitraege:

• 2012: Vortrag "POSIX-Standard",
• 2013: Workshop "Programmiersprache J"