SSL-Zertifikate zu pr\u00fcfen geh\u00f6rt zur grundlegenden Internethygiene. SSL-Zertifikate dienen dazu, Krypto-Schl\u00fcssel auszutauschen, mit der die Kommunikation durch Verschl\u00fcsselung vertraulich wird. Die Gefahr besteht jedoch, dass ein Angreifer eigene Schl\u00fcssel einschleu\u00dft, um die Inhalte der Kommunikation abzuh\u00f6ren – die sogenannte Man-in-the-Middle Attack. Daher stellt sich beim Importieren von Zertifikaten die Frage: Handelt es sich tats\u00e4chlich um das Original-Zertifikat?<\/p>\n
Erst mit der Gewissheit \u00fcber stimmige Fingerabdr\u00fccke kann ein Spion in der Mitte ausgeschlossen werden. Die Fingerabdr\u00fccke sind f\u00fcr diesen Zweck berechnete Pr\u00fcfsummen, zu denen sich mathematisch schwer – d.h. mit nur sehr hohem und f\u00fcr den Angreifer hoffentlich nicht lohnenden Aufwand – Kollisionen finden lassen. G\u00e4ngige Browser zeigen diese Pr\u00fcfsummen nach wenigen Klicks an. Doch wie funktioniert das serverseitig? Wie lassen sich mit OpenSSL die Zertifikatspr\u00fcfsummen ausgeben?<\/p>\n
Hier die kurze Antwort:<\/p>\n
\nopenssl x509 -noout -in cert.pem -fingerprint<\/pre>\n<\/blockquote>\nDie Datei cert.pem ist dabei die Zertifikatsdatei mit den \u00f6ffentlichen Schl\u00fcsseln auf dem Server, die auf Anfrage an den Client gesendet werden. Von dieser Datei gibt der obige Befehl die Fingerabdr\u00fccke aus.<\/p>\n
Bei der \u00dcberpr\u00fcfung sollten den fr\u00fcher verwendeten MD5-Pr\u00fcfsummen nicht mehr vertraut werden. Dieser Algorithmus gilt als gebrochen. Bei MD5 lasen sich Kollisionen mit reduziertem Aufwand konstruieren.<\/a> Das bedeutet, dass ein Angreifer in der Lage ist, Krypto-Schl\u00fcssel zu erzeugen, deren MD5-Pr\u00fcfsumme mit dem Originalzertifikat \u00fcbereinstimmen. Dieses Zertifikat anschlie\u00dfend in die Verbindung eingeschleust, f\u00fchrt dazu, dass beim Kommunizieren ein vom Angreifer erzeugter und unbemerkt untergeschobener Schl\u00fcssel verwendet wird. Der Angreifer kann daraufhin die \u00fcbertragenen Daten unbemerkt entschl\u00fcsseln.<\/p>\n
SHA-1 sollte es mindestens zur Pr\u00fcfsummenbildung sein.<\/p>\n","protected":false},"excerpt":{"rendered":"
SSL-Zertifikate zu pr\u00fcfen geh\u00f6rt zur grundlegenden Internethygiene. SSL-Zertifikate dienen dazu, Krypto-Schl\u00fcssel auszutauschen, mit der die Kommunikation durch Verschl\u00fcsselung vertraulich wird. Die Gefahr besteht jedoch, dass ein Angreifer eigene Schl\u00fcssel einschleu\u00dft, um die Inhalte der Kommunikation abzuh\u00f6ren – die sogenannte Man-in-the-Middle Attack. Daher stellt sich beim Importieren von Zertifikaten die Frage: Handelt es sich tats\u00e4chlich um … <\/p>\n