Zweites erweitertes Sicherheitszertifikat
Erstellt am 22.Dezember 2015, 18:00 Uhr | Kategorie: Info
Liebe Kundinnen und Kunden,
wir setzen ab jetzt auch unser zweites, erweitertes Sicherheitszertifikat ein.
Solche beglaubigten, “grünen Sicherheitszertifikate” werden vor allem von Unternehmen eingesetzt, die mit sensiblen Daten umgehen, z.B. von Banken. Sie können es links von unserer Webadresse https://posteo.de in Ihrem Browser einsehen (meist ein grün hinterlegtes Schlüsselsymbol). So können Sie stets auf einen Blick erkennen, dass Sie tatsächlich auf der Website von Posteo sind – und nicht etwa auf einer Phishing-Site. Wenn Sie ein lokales E-Mailprogramm verwenden, überprüft dieses außerdem vor einem verschlüsselten Verbindungsaufbau zu Posteo das Sicherheitszertifikat – und somit die Echtheit des Verschlüsselungspartners. Hierfür nutzen E-Mailprovider Zertifizierungsstellen: Sie bestätigen die Echtheit eines Sicherheitszertifikats, bevor eine verschlüsselte Verbindung aufgebaut wird. OCSP ist eine zusätzliche Sicherheitsmaßnahme: Ein OCSP-Server bestätigt, dass ein Zertifikat nicht widerrufen wurde.
Darum verwenden wir ein zweites Zertifikat
Und hier liegt auch der Grund für den zusätzlichen Einsatz des zweiten Zertifikates: Die OSCP-Server der Zertifizierungsstelle StartCom waren in den vergangenen Tagen nicht zuverlässig erreichbar. Dies führte in Einzelfällen zu Beeinträchtigungen mit Programmen, die OCSP zusätzlich prüfen – wie z.B. Thunderbird und Firefox. Wir wissen, dass einige unserer Kunden beim Aufruf unserer Website oder bei der Arbeit mit lokalen E-Mailprogrammen deshalb einen Fehler gemeldet bekamen. Bei Posteo selbst lag zu keinem Zeitpunkt eine Störung vor und die Sicherheit Ihrer Verbindungen waren zu keinem Zeitpunkt beeinträchtigt. Da es für uns jedoch völlig inakzeptabel ist, dass eine Störung bei einer einzelnen Zertifizierungsstelle wiederholt einige unserer Kunden beeinträchtigt, verwenden wir ab sofort auch ein von der Bundesdruckerei beglaubigtes Zertifikat, das wir bereits vor einiger Zeit als Zweit-Zertifikat erstellt hatten.
Was eine Zertifizierungsstelle tut
E-Mailprovider nutzen Zertifizierungsstellen, um die Echtheit ihres Sicherheitszertifikats zu bestätigen, bevor eine verschlüsselte Verbindung aufgebaut wird. Ein Zertifizierer beglaubigt außerdem den öffentlichen Schlüssel des SSL-Zertifikats eines Providers. Ähnlich wie ein Notar: Nach der Prüfung zahlreicher Unterlagen (u.a. Handelsregisterauszug, Personalausweise, Anrufe bei uns und unseren Anwälten etc.) bestätigt die Zertifizierungsstelle, dass der öffentliche Schlüssel wirklich zum Provider, in unserem Fall also zu Posteo e.K., gehört. Die Zertifizierungsstelle erstellt unser Zertifikat bzw. unser Schlüsselpaar jedoch nicht – das tun wir selbst. Deshalb kann sie die Schlüssel auch nicht manipulieren oder austauschen.
Unser neues, von der Bundesdruckerei beglaubigtes Zertifikat entspricht den aktuellen Sicherheits-Standards und wurde mit dem SHA-256-Algorithmus signiert.
Falls Ihr Browser, Ihr Mailprogramm, Smartphone oder Tablet nach der Umstellung eine Fehlermeldung wegen eines ungültigen Zertifikates produzieren sollte, liegt dies nicht an einem Angriff oder einem Fehler. Ihr Programm hat dann lediglich noch das alte Zertifikat zwischengespeichert. Abhilfe sollte in den meisten Fällen ein Neustart des Programms oder Gerätes bringen.
Die “elektronischen Fingerabdrücke” unseres neuen Sicherheitszertifikates lauten:
SHA256: 6A:B1:9D:FB:FB:10:2E:D8:89:01:76:8C:B1:6B:61:13:A1:E3:B6:A5:47:D6:85:A3:FD:08:7F:11:DA:35:77:E7
SHA1: 8D:D7:97:B4:45:79:4D:EC:64:AE:D1:90:88:AC:B4:F4:5A:21:EA:6A
MD5: DA:CC:03:04:8C:E8:03:54:4F:6B:B2:2E:C2:ED:94:D8
Sie finden die Fingerabdrücke beider Zertifikate auch in unserem Impressum. Diese Information ist nur für Nutzer relevant, die unsere Zertifikate manuell abgleichen.
Sollte ein von Ihnen verwendetes Programm oder System das Root-Zertifikat der Bundesdruckerei nicht vorinstalliert haben und der Verbindung zu Posteo deshalb nicht trauen, können Sie es nachinstallieren. Sie finden es zum Download auf der Webseite der Bundesdruckerei. Dort finden Sie auf der Downloadseite auch den Fingerprint des Root-Zertifikats “D-TRUST Root Class 3 CA 2 EV 2009”, den wir zum Vergleich auch hier veröffentlichen:
SHA-256 EE:C5:49:6B:98:8C:E9:86:25:B9:34:09:2E:EC:29:08:BE:D0:B0:F3:16:C2:D4:73:0C:84:EA:F1:F3:D3:48:81
SHA-1 96:C9:1B:0B:95:B4:10:98:42:FA:D0:D8:22:79:FE:60:FA:B9:16:83
Die Posteo-Domains, die wir mit dem SSL-Zertifikat verwenden, sind in unserem Besitz. Die Einträge unseres Nameservers im DNS sind auch zusätzlich mit DNSSEC abgesichert, um Manipulationen auszuschliessen. Und durch DANE können die Fingerprints unseres Schlüssels zweifelsfrei von jedem überprüft werden.
Auch, wenn wir keinen Einfluss auf die Beeinträchtigungen durch die Störung bei der Zertifizierungsstelle hatten, möchten wir Sie um Entschuldigung bitten, falls Sie von diesem ärgerlichen Fehler betroffen waren.
Viele Grüße
Ihr Posteo-Team