Neue Sicherheitstechnologien und weiteres Zertifikat
Erstellt am 01.April 2016, 17:00 Uhr | Kategorie: Info
Liebe Kundinnen und Kunden,
liebe Interessierte
wir möchten Sie über einige neue Sicherheitstechnologien bei Posteo informieren. Wir haben damit begonnen, die Technologie “Certificate Transparency” zu unterstützen. Außerdem setzen wir seit einigen Wochen die sehr neuen Technologien “Certification Authority Authorization (CAA)” und “HTTP Public Key Pinning (HPKP)” ein. Mit diesen Technologien erhöhen wir die Sicherheit bei Posteo noch einmal für Sie.
Für Sie ändert sich im Alltag nichts – und Sie müssen nichts tun. Wir möchten Ihnen in diesem Beitrag nur einen Einblick verschaffen, wie wir Ihre Daten bei Posteo mit diesen neuen Technologien schützen.
Certificate Transparency: Keine Chance für Fälscher von Sicherheitszertifikaten
Mit Certificate Transparency überwachen wir automatisiert weltweit, ob ein unbefugter Dritter (Kriminelle oder Geheimdienste) versucht, sich als Posteo auszugeben – und Zertifikate unserer Posteo-Domains zu fälschen. Es war auch bisher schon sehr unwahrscheinlich, dass eine Zertifizierungsstelle Unbefugten tatsächlich fälschlicherweise bescheinigt, Posteo zu sein. Denn wir nutzen bereits seit vielen Jahren ein so genanntes erweitertes Sicherheitszertifikat (EV-Zertifikat). Und solche Zertifikate werden nur nach Vorlage diverser Unterlagen ausgestellt. Kriminelle und Geheimdienste versuchen aber durchaus, über gefälschte Zertifikate eine andere Identität vorzugeben. Zum Beispiel, um Kunden von Internetdiensten auf gefälschte Phishing-Seiten zu locken und dort ihre Login-Daten abzugreifen. Oder, um sich als “Man-in-the-Middle” in einen Kommunikationsvorgang einzuschalten.
Mit der neuen Technologie werten wir 24 Stunden am Tag nahezu in Echtzeit aus, ob jemand versucht, unsere Zertifikate zu manipulieren und können deshalb sofort reagieren – idealerweise noch bevor ein Angreifer einen Betrugsversuch ausführen kann. Man muss nicht mehr auf die Sorgfalt der Zertifizierungsstellen (CA) beim Ausstellen von Zertifikaten vertrauen: Denn mit der neuen Technologie können Internetdienste wie Posteo nun selbst überprüfen, ob eine Zertifizierungsstelle einem Unbefugten fälschlicherweise ein Zertifikat ausgestellt hat.
Neues Zertifikat im Zuge der Umstellungen
Um die neuen Sicherheitstechnologien unterstützen zu können, werden wir im April damit beginnen, ein weiteres Zertifikat von Geotrust einzusetzen. Diese Zertifizierungsstelle unterstützt bereits die neuen Technologien. Interessierte finden die Fingerprints aller Zertifikate (eine Zeichenfolge, mit der ein Zertifikat als “echt” identifiziert werden kann) ab sofort in unserem Impressum. Alle Programme wie Thunderbird oder Outlook finden das neue Zertifikat automatisch. Sie müssen nichts tun. Sollte Ihr Programm während des Umstellungsprozesses dennoch einen Zertifikatefehler melden, starten Sie Ihr Programm bitte einmal neu – dies sollte den Fehler beheben.
Neue Sicherheitstechnologie Certification Authority Authorization (CAA) bereits seit einigen Wochen im Einsatz
Eine weitere neue Sicherheitstechnologie im Zusammenhang mit Zertifikaten setzen wir bereits seit einigen Wochen ein:
Certification Authority Authorization (CAA). CAA ist eine sehr neue, bisher noch nicht verbreitete Technik. Mit der neuen Technologie haben wir im DNS, dem zentralen Abfrage-Register im Internet, die Information hinterlegt, welche Zertifizierungsstellen berechtigt sind, für unsere Domains Zertifikate auszustellen. Diese Technik ist noch sehr neu, deshalb gibt es für die Zertifizierungsstellen noch keine Verpflichtung, sich daran zu halten. Wir sind aber der Auffassung, dass diese Einträge dennoch schon jetzt sinnvoll sind: Wir wollen zeigen, was heute technisch möglich ist und hoffen, dass schon bald viele Telekommunikationsanbieter und Zertifizierungsstellen CAA nutzen. Die Technologie kann die Internetnutzung insgesamt sicherer machen – und das Risiko gefälschter Zertifikate weiter minimieren.
Deutsche Zertifizierer mit Certificate Transparency noch nicht praxistauglich
Derzeit ist es für E-Maildienste wie Posteo noch unmöglich, Zertifikate deutscher Zertifizierungsstellen als Haupt-Zertifikat in der Praxis einzusetzen.
So kennen einige weit verbreitete Geräte und Programme deutsche Anbieter wie D-Trust bzw. die Bundesdruckerei (noch) nicht. Setzt ein E-Maildienst dennoch ein Zertifikat einer solchen “unbekannten” Zertifizierungsstelle ein, kommt es deshalb bei einer großen Kundenanzahl zu ständig wiederkehrenden Fehlermeldungen. Die Programme melden, dass den eingesetzten Zertifikaten nicht vertraut wird. Auch bei der Unterstützung neuer Sicherheitstechnologien sieht es nicht gut aus: Das Telekom Trust Center (TeleSec), die Zertifizierungsstelle der Deutschen Telekom AG, hat z.B.- laut Angaben uns gegenüber- keine Pläne, Certificate Transparency zu unterstützen. Diese bestehenden Probleme mit deutschen Zertifizierern werden sich – wenn überhaupt – erst im Laufe der kommenden Jahre bessern. Voraussetzung hierfür ist zum Beispiel, dass die deutschen Zertifizierer dafür sorgen, dass ihre so genannten Root-Zertifikate in allen Geräten und Programmen der neueren Generationen als vertrauenswürdig erkannt werden.
Zusatz-Information für Profis: Weitere Zertifikat-Sicherheitstechnologien bei Posteo
- Wir nutzen pro abgesicherter Domain immer mindestens zwei Extended-Validation-Zertifikate gleichberechtigt. Falls es einmal Probleme mit einer Zertifizierungsstelle geben sollte, können wir umgehend auf das andere Zertifikat wechseln, ohne dass es zu Beeinträchtigungen für unsere Kundinnen und Kunden kommt.
- Wir nutzen HPKP (HTTP Public Key Pinning), um Browser zu zwingen, nur unsere Zertifikate zu akzeptieren.
- Wir nutzen DANE, damit andere E-Mailserver, Browser und Programme unsere Zertifikate über eine fälschungssichere DNS-Abfrage überprüfen können.
Viele Grüße
Ihr Posteo-Team