Mittwoch, 19. Januar 2011

(Eigenen) SSL-Zertifikaten vertrauen: FritzBox, Chrome, …

Es gibt Situationen, in denen man (selbst installierte) Dienste nutzt, die HTTPS (die verschlüsselte Variante von HTTP) anbieten. Der naheliegendste Fall ist vielleicht der Fernzugriff auf eine FRITZ!Box, deswegen nutze ich dies hier als Beispiel. Man kann diese Funktion in den Optionen des Routers einschalten, um aus dem Internet per HTTPS Zugriff auf das Administrationsinterface zu bekommen. Damit kann man unter anderem über Wake on LAN heimische PCs starten. Okay, macht wahrscheinlich nicht jeder.

Aber zurück zum Thema SSL-Zertifikate. Wenn man die FritzBox-Adminseite aus dem Internet aufruft, dann bekommt man in Chrome folgende Warnung angezeigt (auch Firefox, Internet Explorer etc. warnen ähnlich):

Das Sicherheitszertifikat der Webseite ist nicht vertrauenswürdig! Die Aussage, dass “das Sicherheitszertifikat der Webseite nicht vertrauenswürdig” ist, beruht auf der Tatsache, dass das Zertifikat von der FritzBox selbst erzeugt und nicht mit einem Schlüssel einer bekannten (und vertrauenswürdigen!) Zertifizierungsstelle gegengezeichnet wurde. Das ist alles auch korrekt so, denn ein nicht vertrauenswürdiges Zertifikat könnte auch auf einen unsicheren bzw. kompromittierten Server hinweisen.

In unserem Fall ist es aber unser “Server”, die FritzBox. Und wen diese Warnung stört, dem zeige ich kurz, wie man sie abstellen kann.

SSL-Zertifikate als vertrauenswürdig deklarieren

Wenn man ein eigenes SSL-Zertifikat nicht von einer Zertifizierungsstelle absegnen lassen kann (das ist zum einen meist kostenpflichtig und zum anderen kann man solche Zertifikate nicht überall verwenden, siehe das Beispiel FritzBox als geschlossenen System), dann bleibt die Möglichkeit, es lokal auf dem PC als vertrauenswürdig zu deklarieren und damit verschwindet auf diesem Rechner auch die obige Warnung.

Es wird empfohlen, dass Sie die Webseite schließen und nicht zu dieser Website wechseln. ZertifikatfehlerChrome greift unter Windows auf den gleichen Zertifikatespeicher zu wie der Internet Explorer, also muss man hier ansetzen.

Man öffnet die fragliche URL und ignoriert die nachfolgende Warnung im Internet Explorer und fährt zur Webseite fort – auch wenn da steht “nicht empfohlen”. Dort wird deutlich rot in der Adresszeile signalisiert, dass die URL zwar verschlüsselt aber nicht vertrauenswürdig ist.Zertifikatsdetails

Rechts klickt man nun auf auf den Punkt “Zertifikatfehler” (siehe Screenshot) und dann ganz unten auf “Zertifikat anzeigen”. Nun bekommt man wie im rechten Screenshot die Zertifikatsdetails angezeigt. Hier noch einmal überprüfen, ob unter “Ausgestellt” auch der richtige Server angezeigt wird.

Ganz unten kann man nun dieses “Zertifikat installieren …”, wenn man dies denn will. Beim Klick erscheint ein Dialog, in dem den Speicherort auswählen kann. Ich nehme für solche Fälle immer “Vertrauenswürdige Stammzertifizierungsstellen”, damit bleiben weitere Nachfragen und Warnungen mit Sicherheit erspart. Im Ideallfall überprüft man noch den angezeigten Hash, bevor man den Import startet:

Zertifikat manuell hinzufügen

image Wenn dies erfolgt ist, dann klappt es in Zukunft auch mit Chrome ohne Warnung beim Aufruf der entsprechenden Internetadresse. Wenn ihr verschiedene Rechner/PCs nutzt, müsst ihr das Ganze dort entsprechend wiederholen.

Eine Warnung will ich aber trotzdem aussprechen: Man sollte sich genau überlegen, welche Zertifikate man zu Stammzertifikaten erklärt. Denn würde jemand Fremdes in den Besitz dieses Zertifikats kommen und könnte damit andere (gefälschte SSL-Zertifikate) signieren, dann könntet ihr diese Fälschungen auf dem modifizierten Rechner nicht auf Anhieb als solche erkennen. Hier muss man also zwischen Bequemlichkeit (Warnung wegklicken!) und höherer Sicherheit entscheiden. Ich persönlich schätze die reale “Gefahr” für das FritzBox-Beispiel allerdings als sehr gering an.

Zertifikatsspeicher säubern

Die Liste aller bekannten und akzeptierten Zertifikate ist übrigens in der Systemsteuerung, Unterpunkt Internet => Inhalte => Zertifikate zugänglich. Hier kann man sich alle anzeigen lassen und auch suspekte oder fälschlich hinzugefügte Zertifikate löschen.

blog comments powered by Disqus

Design von Dicas Blogger, angepasst durch Mario Ruprecht