# Vertrauen

und Gültigkeit.

🎯 Wir verstehen wie das Vertrauen zu Digitialzertifikaten hergestellt wird.


# Verifiziert von

Besucht man https://example.com (opens new window) und klickt auf das Schloss, sieht man folgendes:


Die Adresse www.example.com ist verifizert von DigiCert Inc.

🤔 Wer ist DigiCert Inc und warum vertraue ich ihnen?


# Vertrauensmodelle

Um das zu verstehen, müssen wir zuerst verschiedene Vertrauensmodelle betrachten:

  • Direktes Vertrauen 🧑‍🤝‍🧑
  • Vertrauenshierarchie 🔝
  • Web of Trust 🕸️

Und definieren was Gültigkeit ✅ ist.


# Gültigkeit

"Gültigkeit bedeutet Vertrauen dahingehend, daß ein öffentliches Schlüsselzer- tifikat dem angegebenen Eigentümer gehört."


# Direktes vertrauen

Benutzer vertraut auf die Gültigkeit des Schlüssels, da dessen Herkunft bekannt ist.

direktes-vertrauen


# Vertrauenshierarchie

Im hierarchischen Modell gibt es eine Anzahl Root-Zertifikate (Stamm 🌳). Davon werden Zertifizierungsinstanzen und Zertifikate (Äste 🌱 und Blätter 🍃) abgeleitet.



# Web of Trust

Ist eine Kombination der beiden vorherigen Modellen. In sechs Schritten kann man zu jedem Menschen eine Verbindung aufnehmen 🤝.

Händeschütteln -> Schlüssel austauschen -> Es entsteht ein Netz aus Vertrauen



# Gültigkeit überprüfen

Die Gültigkeit kann wie folgt geprüft werden:

  1. Erstellen Fingerabdruck des Zertifikats
  2. Fingerabdruck bei Herausgeber nachfragen
  3. Fingerabdrücke vergleichen

Eine weitere Möglichkeit ist die Prüfung durch Dritte -> Zertifizierungsinstanz


# Zertifizierungsinstanz (CA)

"Der Hauptzweck einer CA ist grundsätzlich, einen öffentlichen Schlüssel mit im Zertifikat enthaltenen Identifikationsinformationen zu verbinden und somit Dritten zu versichern, daß eine gewisse Sorgfalt bei der Verbindung der Identifikationsinformationen verwendet wurde und der Schlüssel gültig ist."


Dazu die Hierarchie:

root-ca-hierarchy


# Zertifikat verifzieren

🤔 Wie wird das Zertifikat von DigiCert Inc verifiziert?

🙋 Es wird die hierarchische Zertifikatskette überprüft. Wenn wir der Root-CA vertrauen, vertrauen wir DigiCert Inc.



# Dem Browser vertrauen

Wenn man eine Browser auf dem Computer installiert oder aktualisiert, wird immer eine Liste von Root-CA-Zertifikaten mitgeliefert.

🧠 Nice to know: Mozilla Included CA Certificate List (opens new window)


Auf Windows werden Zertifikate zentral im Certificate Manager verwaltet.


# Übungen

🎬 Lösen sie die Übung 2.


# Zusammenfassung

Der Zugriff auf eine Webseite ist sicher:

Wenn https:// verwendet wird.
↪️Die Adresse mit einem Zertifikat verknüpft ist.
↪️Dem Herausgeber des Zertifikats vertraut wird.
↪️Dem Browser vertraut wird. ↪️Der Browser der Root-CA vertraut.


# Probleme CA

🤔 Kann man den CAs wirklich vertrauen?

🙋 Nicht vollständig:

Es werden immer wieder unauthorisierte Zertifikate erstellt.


# Sicherheit im Web

Unabhängig davon ist aber die Verbindung mit einer Webseite ziemlich sicher.

Mehr dazu in Sichere Webprotokolle.