SSL-Zertifikat verstehen und überprüfen (Leitfaden für Einsteiger mit Video)

Zuletzt aktualisiert am 15. Januar 2025 von Lars

SSL-Zertifikat: In der heutigen digitalen Welt ist die Sicherheit von Websites und Online-Diensten super wichtig. Ein wesentlicher Bestandteil dieser Sicherheit sind SSL-Zertifikate. In diesem Artikel erkläre ich dir, was SSL-Zertifikate sind, warum sie regelmässig erneuert werden müssen, wie du ihre Gültigkeit überprüfen kannst und welche Tools dabei helfen. Ausserdem gehe ich auf wichtige Begriffe wie Cipher, Root-Zertifikate und Chain-Zertifikate ein und bespreche häufige Probleme im Zusammenhang mit SSL-Zertifikaten.

Warum Verschlüsselung?

Um mehr Sicherheit im Internet zu erreichen, kann der Datenverkehr verschlüsselt werden. Am einfachsten lässt sich das am Beispiel eines Online-Shops erklären. Gehen wir davon aus, er wäre im Internet unter der Adresse "toller-shop-ch" zu erreichen.

Wenn du deine Daten mit dem Online-Shop unverschlüsselt austauscht, kann es sein, dass ein Betrüger den Datenverkehr abhört und so Zugang zu wichtigen Daten, wie zum Beispiel die deiner Kreditkarte, bekommt. Das wäre fatal.

Anders ist es, wenn der Datenverkehr verschlüsselt wird. Man verwendet hier das Protokoll SSL. Es steht für Secure Sockets Layer. Streng genommen ist SSL nicht mehr aktuell und in der Praxis wird TLS (Transport Layer Security) eingesetzt. SSL ist aber die geläufige Bezeichnung geblieben.

Wie wird SSL eingerichtet?

Um SSL einzurichten, benötigt der Webshopbetreiber ein Zertifikat. Dazu beantragt er für seinen Webserver bei einer CA (Certification Authoritation - Zertifizierungsstelle) ein Zertifikat mit einem CSR (Certificate Signing Request - Zertifikatsanforderung). Bei der Erstellung des CSR, wird auch der sogenannte Private Key verwendet. 

Die CA prüft die Identität des Antragstellers. Ist alles OK, stellt die CA das Zertifikat aus. Das Zertifikat erhält den sogenannten Public Key, der damit dem Antragssteller fest zugeordnet ist.

Der Private Key muss dabei immer in der Hand des Website-Betreibers bleiben und darf beispielweise nicht ungesichert per E-Mail versendet werden. Würde der Private Key in fremde Hände gelangen, könnten diese sich als der Websitebetreiber ausgeben.

Die CSR enthält Informationen (z. B. Name, Unternehmen, Land) und auch den öffentlichen Schlüssel, der im Zertifikat eingefügt wird.

Ablauf der verschlüsselten Verbindung mit SSL

Wie läuft die verschlüsselte Verbindung mit SSL ab? Du rufst die Internet-Adresse des Webshops mit "https" statt wie bisher "http" am Anfang auf. Der Browser stellt damit die Anfrage an die Website. Der Server antwortet mit dem Zertifikat samt seinem Public Key. Der Browser prüft, ob man der zugehörigen CA vertrauen kann.

Dein Browser hat dazu eine Liste von sogenannten Root-Zertifikaten, die wiederum definieren, welchen Zertifizierungsstellen vertraut werden kann. Mehr dazu auch noch weiter unten. Dadurch wird auch allen Zertifikaten vertraut, die von diesen vertrauenswürdigen Zertifizierungsstellen herausgegeben werden.

Früher kam es durchaus ab und zu vor, dass der Browser wegen fehlender Updates keine aktuellen Root-Zertifikate hatte und die Verbindung fälschlicherweise abgelehnt wurde. Das habe ich in jüngster Zeit allerdings aber nur noch selten erlebt.

Die CA überprüft bei dieser Anfrage ausserdem, ob der Public Key zum Private Key passt. Dies kann er aufgrund mathematischer Verfahren, ohne den Private Key zu kennen. Wenn ja, kann der Browser die verschlüsselte Verbindung starten.

Root- und Intermediate- Zertifikat

Ein Root-Zertifikat ist das oberste Zertifikat in der sogeannten Zertifikatskette und wird von einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) ausgestellt. Root-Zertifikate sind in den Betriebssystemen und Browsern vorinstalliert und dienen als Vertrauensanker, auf den alle anderen Zertifikate aufbauen.

Die Zertifikatskette verstehen

Um die Funktionsweise von Root- und Chain-Zertifikaten besser zu verstehen, kannst du dir die Zertifikatskette als eine Art Familienstammbaum vorstellen:

• Root-Zertifikat (Der Urgrossvater)
  • Dies ist das vertrauenswürdigste Zertifikat und steht ganz oben in der Kette.
  • Es wird direkt von der Zertifizierungsstelle (CA) erstellt und ist in den Systemen der Nutzer bereits als vertrauenswürdig eingestuft.
  • Da es sich um ein sehr wichtiges Zertifikat handelt, wird es extrem gut geschützt und selten verwendet.
• Intermediate-Zertifikate (Die Eltern):
  • Diese Zertifikate werden von der Root-Zertifizierungsstelle ausgestellt.
  • Sie dienen als Vermittler zwischen dem Root-Zertifikat und den End-Entity-Zertifikaten (z. B. die SSL-Zertifikate von Websites).
  • Durch die Verwendung von Intermediate-Zertifikaten wird das Root-Zertifikat entlastet und besser geschützt, da es nicht direkt für die Ausstellung von Website-Zertifikaten verwendet wird.
• End-Entity-Zertifikat (Die Kinder):
  • Dies sind die Zertifikate, die direkt von einer CA oder einem Intermediate-Zertifikat für spezifische Domains ausgestellt werden.
  • Sie werden auf den Webservern von Websites installiert und ermöglichen die sichere Kommunikation mit den Besuchern.

Analogie für den Vertrauenspfad: Die Einladung

Stell dir vor, du möchtest eine Einladung zu einer exklusiven Veranstaltung senden. Du vertraust jedoch nur Einladungen, die von einer bestimmten Hauptperson (Root) stammen. Diese Hauptperson kann Einladungen an vertraute Vermittler (Intermediate) weitergeben, die dann die Einladungen an die tatsächlichen Gäste (End-Entity) ausstellen.

• Hauptperson (Root-Zertifikat):
  Absolut vertrauenswürdig und bekannt.
• Vermittler (Intermediate-Zertifikate):
  Vertrauenswürdig, weil sie von der Hauptperson autorisiert sind.
• Gäste (End-Entity-Zertifikate):
  Vertrauenswürdig, weil ihre Einladungen von den vertrauenswürdigen Vermittlern stammen.

Wenn jemand versucht, eine gefälschte Einladung zu senden, wird sie von den Gästen abgelehnt, weil sie nicht von den vertrauenswürdigen Vermittlern stammt. Ebenso sorgt die Zertifikatskette dafür, dass nur vertrauenswürdige SSL-Zertifikate akzeptiert werden.

Warum braucht es Root- und Intermediate-Zertifikate?

Die Verwendung einer Zertifikatskette mit Root- und Intermediate-Zertifikaten bietet mehrere Vorteile:

• Sicherheit:
  Das Root-Zertifikat bleibt sicher und geschützt, da es nicht direkt für die Ausstellung von End-Entity-Zertifikaten verwendet wird. Sollte ein Intermediate-Zertifikat kompromittiert werden, kann es widerrufen werden, ohne das Root-Zertifikat zu gefährden.
• Vertrauenswürdigkeit:
  Da Root-Zertifikate in den Betriebssystemen und Browsern vorinstalliert sind, vertrauen Nutzer automatisch allen Zertifikaten, die auf dieser vertrauenswürdigen Kette basieren.
• Flexibilität:
  CAs können verschiedene Intermediate-Zertifikate für unterschiedliche Zwecke oder Organisationen verwenden, ohne das Root-Zertifikat jedes Mal ändern zu müssen.

Wie hängen Private und Public Key zusammen?

Den genauen Zusammenhang zu verstehen, setzt ziemlich tiefgreifende mathematische Kenntnisse voraus. Vereinfacht lässt sich sagen, dass es damit zusammenhängt, dass das Produkt zweier grosser Primzahlen nur schwer in seine Faktoren zu zerlegen ist.

• Verschlüsselt werden kann mit dem Private Key und Public Key.
• Entschlüsselt werden kann ausschliesslich mit dem Private Key, der nur dem Server bekannt ist (bzw. bekannt sein darf).
• Kennt man den Public Key kann man daraus nicht den Private Key herausbekommen (zumindest nicht mit derzeit verfügbaren Mitteln und wenn die Schlüssellänge hinreichend gross ist).

Public Key und private Key. Etwas genauer bitte!

Es wird also ausgenutzt, dass das Produkt zweier grosser Primzahlen nur schwer in seine Faktoren zu zerlegen ist. Wer sich intensiver mit den mathematischen Verfahren auseinandersetzen will, sollte sich die Videos von Prof. Christian Spannagel von der PH Heidelberg dazu anschauen.

In diesem Video erklärt er den Zusammenhang zwischen Public und Private Key mathematisch. RSA ist das Krypto-Verfahren hinter SSL.

Der öffentliche Schlüssel ist für jedermann aus dem Zertifikat lesbar, der private muss jedoch geheim gehalten werden.

Der Public Key (auch von anderen) kann von einem beliebigen Absender zur Verschlüsselung einer Klartext-Nachricht verwendet werden. Es ist aber nicht möglich, mit ihm den Klartext zurückzugewinnen. Dazu benötigt man zwingend den Private Key.

Dieses Einführungsvideo kommt ohne mathematischen "Ballast" aus:

Zertifikate von Let's Encrypt

Let's Encrypt ist eine relativ junge CA (seit 2015). Sie hat sich zur Aufgabe gemacht, verschlüsselte Verbindungen zum Standard zu machen. Die Zertifikate sind daher kostenlos. Inzwischen (2019) bieten die meisten Webhoster diese kostenlose Zertifikate Ihren Kunden an. Mehr zu Let's Encrypt findest du auf der Homepage des Projekts oder bei Wikipedia.

Warum läuft ein SSL-Zertifikat ab?

SSL-Zertifikate haben eine begrenzte Gültigkeitsdauer, die zwischen wenigen und aktuell 398 Tage liegt. Früher gab es auch Zertifikate, die länger gültig waren. Der Hauptgrund für diese zeitliche Begrenzung ist die Sicherheit. Durch regelmässige Erneuerungen wird sichergestellt, dass die Verschlüsselungsstandards aktuell bleiben und potenzielle Sicherheitslücken minimiert werden. Ausserdem ermöglicht die regelmäßige Überprüfung der Zertifikate den Zertifizierungsstellen (Certificate Authorities, CAs), die Vertrauenswürdigkeit der Zertifikate aufrechtzuerhalten.

Warum werden SSL-Zertifikate zurückgezogen (revoked)?

Es gibt mehrere Gründe, warum ein Zertifikat vor seinem Ablaufdatum zurückgezogen (revoked) werden kann:

Sicherheitsvorfälle

Wenn der private Schlüssel eines Zertifikats kompromittiert wird (zum Beispiel versehentlich veröffentlicht), muss das Zertifikat sofort zurückgezogen werden, um Missbrauch zu verhindern.

Änderung der Unternehmensdaten

Falls sich wesentliche Informationen über die Organisation ändern, die im Zertifikat enthalten sind, ist eine Rücknahme und Neuausstellung erforderlich.

Fehlerhafte Ausstellung

Wenn ein Zertifikat fälschlicherweise ausgestellt wurde, beispielsweise an die falsche Domain, muss es zurückgezogen werden.

Die Möglichkeit, Zertifikate vorzeitig zurückzuziehen, trägt zusätzlich zur Sicherheit bei.

Cipher

Ein Cipher ist ein Algorithmus, der zur Verschlüsselung und Entschlüsselung von Daten verwendet wird. Er sorgt dafür, dass Informationen sicher von einem Punkt zum anderen übertragen werden, indem er die Daten unlesbar für Unbefugte macht. Starke Cipher sind entscheidend für die Sicherheit der Datenübertragung, da sie es Angreifern erheblich erschweren, die verschlüsselten Informationen zu knacken.

Es gibt auch veraltete Cipher, die heutzutage als unsicher gelten. Diese älteren Algorithmen können Schwachstellen aufweisen, die von modernen Angriffstechniken ausgenutzt werden können. Der Einsatz dieser unsicheren Cipher kann die gesamte SSL/TLS-Verbindung gefährden und sollte daher vermieden werden.

Moderne, sichere Cipher bieten eine viel höhere Sicherheit und sind resistent gegen bekannte Angriffe. Beim Einrichten von SSL-Zertifikaten und der Konfiguration von Servern ist es wichtig, nur diese sicheren Cipher zu verwenden und veraltete Algorithmen auszuschliessen, um die Integrität und Vertraulichkeit der übertragenen Daten zu gewährleisten.

Mögliche Probleme mit SSL-Zertifikaten

Beim Umgang mit SSL-Zertifikaten können verschiedene Probleme auftreten:

Abgelaufenes Zertifikat

Wenn ein Zertifikat abläuft, wird die Verbindung als unsicher angezeigt, was zu Vertrauensverlust bei den Nutzern führen kann.

Ungültige Zertifikatskette

Wenn die Zertifikatskette nicht korrekt ist, kann der Browser die Vertrauenswürdigkeit des Zertifikats nicht bestätigen.

Schwache Cipher

Veraltete oder schwache Cipher können die Sicherheit der Verbindung gefährden.

Falsche Konfiguration

Fehler bei der Installation oder Konfiguration des Zertifikats können zu Sicherheitslücken führen.

Wie testest du ein SSL-Zertifikat?

Die Überprüfung eines SSL-Zertifikats ist entscheidend, um sicherzustellen, dass die Verbindung zu einer Website sicher ist. Es gibt verschiedene Methoden und Tools, mit denen du die Gültigkeit und Sicherheit eines SSL-Zertifikats testen kannst. Zwei beliebte Tools sind Certigo und SSL Labs von Qualys.

Certigo

Certigo ist ein leistungsstarkes Kommandozeilen-Tool, das zur Analyse und Überprüfung von SSL-Zertifikaten verwendet wird. Es ermöglicht dir, Zertifikate schnell zu inspizieren, die Zertifikatskette zu überprüfen und Informationen über Cipher-Suiten bereitzustellen. Certigo ist besonders nützlich, wenn du detaillierte Einblicke in die SSL-Konfigurationen deiner Server benötigst.

Hauptfunktionen von Certigo

• Anzeige detaillierter Informationen über SSL-Zertifikate
• Überprüfung der Zertifikatskette und Vertrauenswürdigkeit
• Analyse der unterstützten Cipher-Suiten
• Einfache Integration in Skripte und Automatisierungsprozesse

Installation von Certigo

Homepage des Programmes: https://github.com/square/certigo

Installation mit homebrew auf dem Mac zum Beispiel mit

brew install certigo

Nutzung von Certigo

Nutzung Beispiel:

certigo connect it-zeugs.de
** TLS Connection **
Version: TLS 1.3
Cipher Suite: AES_128_GCM_SHA256 cipher

** CERTIFICATE 1 **
Valid: 2024-12-12 18:53 UTC to 2025-03-12 18:53 UTC
Subject:
CN=it-zeugs.de
Issuer:
C=US, O=Let's Encrypt, CN=R10
DNS Names:
it-zeugs.de, www.it-zeugs.de

** CERTIFICATE 2 **
Valid: 2024-03-13 00:00 UTC to 2027-03-12 23:59 UTC
Subject:
C=US, O=Let's Encrypt, CN=R10
Issuer:
C=US, O=Internet Security Research Group, CN=ISRG Root X1

Checked OCSP status for certificate (was stapled), got:
Good (last update: 03 Jan 25 01:38 UTC

Found 1 valid certificate chain(s):
[0] CN=it-zeugs.de
=> CN=R10
=> CN=ISRG Root X1 [self-signed]

SSL Labs von Qualys

SSL Labs ist ein webbasiertes Tool von Qualys, das eine umfassende Bewertung der SSL-Konfiguration einer Website bietet. Es ist benutzerfreundlich und eignet sich sowohl für Anfänger als auch für erfahrene IT-Profis. Mit SSL Labs kannst du einen detaillierten Bericht über die Sicherheit deiner SSL-Implementierung erhalten.

Hauptfunktionen von SSL Labs:

• SSL Test: Analysiert die SSL-Konfiguration einer Website und bewertet sie anhand von Sicherheitskriterien.
• SSL Pulse: Bietet Einblicke in die aktuelle SSL-Landschaft und zeigt Trends in der SSL-Verwendung.
• Client-Side Tests: Bewertet die Kompatibilität der SSL-Konfiguration mit verschiedenen Browsern und Geräten.

Verwendung von SSL Labs

• Besuche SSL Labs.
• Klicke auf "Test your server"
• Gib die URL der zu testenden Website ein.
• Starte den Test und warte auf die Ergebnisse.
• Analysiere den Bericht, um mögliche Sicherheitslücken zu identifizieren und zu beheben.

Fazit

SSL-Zertifikate sind ein grundlegender Bestandteil der Websicherheit, der den Schutz sensibler Daten gewährleistet und das Vertrauen der Nutzer stärkt. Das Verständnis der Funktionsweise von SSL-Zertifikaten, ihrer Gültigkeit und der relevanten Begriffe ist für IT-Einsteiger essenziell. Tools wie Certigo und SSL Labs bieten wertvolle Unterstützung bei der Überprüfung und Analyse von SSL-Konfigurationen, sodass Sicherheitslücken schnell erkannt und behoben werden können. Indem du diese Werkzeuge nutzt und die grundlegenden Konzepte verstehst, kannst du die Sicherheit deiner eigenen oder der Websites, die du verwaltest, erheblich verbessern.

Weiterführende Ressourcen

• Zertifizierungsstellen und ihre Rolle
• Leitfaden zur Installation von SSL-Zertifikaten
• Verstehen von Cipher-Suites

Zeit gespart? Dann unterstütze doch it-zeugs.de

Wenn dieser Tipp dir geholfen hat, Zeit zu sparen, überlege bitte, eine kleine Spende zu hinterlassen. Dein Beitrag hilft mir, weiterhin wertvolle Inhalte zu erstellen. Du kannst unter diesem Linke spenden: Spende it-zeugs.de

Falld du nicht spenden willst oder kannst, dann wäre es toll, wenn du deinen nächsten Amazon Einkauf mit diesem Link beginnen würdest: Amazon Link. Für dich wird es nicht teurer, ich bekomme aber einen kleinen Beitrag.

Vielen herzlichen Dank ❤️

Lars

Hallo, hier schreibt Lars. Dipl-Ing. Ingenieurinformatik (FH). Seit Jahrzehnten in der IT tätig. Geprüfter (und begeisterter) Webmaster. Ebenso begeisterter Windows-, Apple-, und Office-User. Ich schreibe über alle möglichen Themen rund um IT. Mehr über mich erfährst du hier: Über mich. Danke für deinen Besuch!