Globale Zertifikate für komfortable Sicherheit
Zertifikate haben für die sichere Online-Kommunikation große Bedeutung. Die neue Zertifizierungsstelle der TU Chemnitz stellt nun Zertifikate aus, die von vielen WWW-Browsern ohne Rückfrage akzeptiert werden.
Sie kennen die Situation: Ob Sie nun Ihre E-Mails an der TU abrufen oder eine Online-Bestellung aufgeben -
Sie müssen dabei sensible Daten preisgeben (Passwörter, Konto-Informationen).
Wissen Sie dabei immer, wem Sie Ihre Daten geben? Ist es der echte E-Mail-Server der TU oder
der richtige WWW-Server des Online-Händlers, oder ist es ein Server, der sich dafür ausgibt?
Werden Ihre Daten auf dem Weg von Ihnen zum Server im Netz gar abgehört oder verfälscht?
Zur Sicherung der Online-Datenübertragung gibt es geeignete technische Verfahren:
- Transport Security Layer (TLS, früher: Secure Socket Layer - SSL) ist das Verschlüsselungsprotokoll für Datenübertragungen im Internet.
- Digitale Zertifikate sind quasi Ausweise, die von "amtlicher" Stelle die Zugehörigkeit eines Schlüssels zu einer Identität (Organisation, Person, Server) bestätigen.
Diese Verfahren sorgen für:
- Vertraulichkeit - Durch kryptografische Verschlüsselung ist nur der von Ihnen bestimmte Empfänger in der Lage, die Nachricht zu lesen.
- Authentizität - Durch Server-Zertifikate können Sie überprüfen, ob Sie wirklich mit dem gewünschten Partner kommunizieren. Ihr WWW-Browser oder E-Mail-Programm vertraut entweder den Ausstellern von Zertifikaten oder Sie erhalten das Zertifikat zur Begutachtung, bevor Daten gesendet werden.
- Integrität - Die Information darf auf dem Weg von Ihnen zum Empfänger nicht verändert werden. Ansonsten wird dies bemerkt und die weitere Kommunikation unterbunden.
Für solche Dienste ist neben technischen Maßnahmen (Hardware, Protokolle)
auch eine organisatorische Infrastruktur erforderlich (
PKI - Public key infrastructure).
Ein wichtiger Bestandteil ist eine
Zertifizierungsstelle (Certification Authority, CA).
Das ist die o.g. "amtlichen Stelle", die digitale Zertifikate ausstellt.
Seit 2003 betreibt das URZ der TU Chemnitz eine solche Zertifizierungsstelle, die
Schlüssel von Servern (WWW, E-Mail etc.) der TU Chemnitz zertifiziert.
Seit Februar 2007 wird unsere Zertifizierungsstelle vom Deutschen Forschungsnetz (DFN) betrieben (TUC/URZ CA G3).
Diese Auslagerung bietet u.a. folgende Vorteile:
- Zertifikate im Sicherheitsniveau "Global": Die sichere Betriebsumgebung der Zertifizierungsstelle (u.a. aufwändig gesicherte Räume, zertifizierte Hardware, geschultes Personal) ist damit gegeben.
- Die Server-Zertifikate gelten nun 5 Jahre und werden von vielen Browsern ohne Warnung akzeptiert.
Diese Zertifikate sind über eine "Vertrauenskette" bis zu einer
Root-CA verknüpft, die von den Browsern Microsoft Internet Explorer
und Opera als vertrauenswürdig eingestuft werden. Dort entfällt jetzt die
Warnung auf "nicht vertrauenswürdiges Zertifikat".
Für Mozilla-Browser (Firefox, SeaMonkey) wird der Benutzer weiterhin
gefragt, ob er diesen Zertifikaten vertrauen will. Hier ist es angebracht,
die CA-Zertifikate für TUC/URZ CA G3 einmalig in den Browser zu laden:
http://www.tu-chemnitz.de/urz/ca/ca-cert/
Für vom URZ betriebene Linux-PCs ist das schon realisiert.
Leider gibt es ein Problem mit Mozilla-Versionen 1.6 oder älter:
http://www.tu-chemnitz.de/urz/www/mozilla/cert.html
Die wichtigsten zentralen Server (WWW- und E-Mail-Server) der TU Chemnitz besitzen bereits diese neuen Zertifikate.
Wenn Sie eigene gesicherte WWW-Server betreiben, können Sie neue Zertifikate beauftragen:
http://www.tu-chemnitz.de/urz/ca/howto.html
Das URZ baut momentan eine
Registrierungsstelle (Registration Authority, RA) auf, die
die online erstellten Zertifikatanträge von Angehörigen der TU Chemnitz persönlich prüft (Vorlage eines amtlichen Ausweises) und die Zertifizierung veranlasst.
Wir beabsichtigen, in Zukunft auch persönliche Zertifikate für Angehörige der TU Chemnitz auszustellen,
die Sie u.a. in der gesichterten E-Mail-Kommunikation einsetzen können.
Weitere Informationen:
http://www.tu-chemnitz.de/urz/ca/
