- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Zertifikatsfehler sollten erst gar nicht auftreten


Fehlermeldung beim SSL-Zertifikat: Wenn der Browser der Verbindung nicht vertraut
Bestellt der Websitebetreiber ein SSL-Server-Zertifikat, so hat dies immer eine bestimmte Laufzeit

- Anzeigen -





Um den Einsatz von SSL-Zertifikaten führt kaum noch ein Weg vorbei. Denn damit gestalten Webseitenbetreiber die Kommunikation zwischen den Browsern ihrer Besucher und dem eigenen Server aufgrund der den Zertifikaten zugrunde liegenden hochgradigen Verschlüsselung als sicher. Nutzerdaten wie Passwörter, Bankverbindungen oder Personendaten können von Cyberkriminellen somit nicht ausgespäht werden.

"Ein SSL-Zertifikat garantiert auch, dass der Webshop-Betreiber durch eine dritte Instanz geprüft und seine Identität sichergestellt wurde. Dank einer SSL-Verschlüsselung können obendrein Angriffsszenarien wie sogenannte Man-in-the-Middle-Attacken; bei denen sich ein unbefugter Dritter zwischen Client und Server schaltet, sich als Gesprächspartner ausgibt und die Kommunikation nicht nur belauschen, sondern auch verfälschen kann; effizient vermieden werden", informiert Christian Heutger, Geschäftsführer der PSW Group. Ist das SSL-Zertifikat korrekt integriert, wird es von jedem Browser geprüft, sobald die Verbindung über das sichere HTTPS-Protokoll hergestellt wird.

Umso schlimmer, wenn beim Besuch einer Website die Warnmeldung "Der Verbindung wird nicht vertraut" aufblinkt. Wird eine solche Warnung trotz vorhandenem Zertifikat angezeigt, ist es an sich kein Weltuntergang. Es bedeutet jedoch, dass der Webbrowser die Identität der besuchten Website nicht verifizieren kann und der Besucher vorsichtig sein sollte.

"Wenn es sich also nicht gerade nur um die Online-Ausgabe der Tageszeitung handelt, in der der Besucher einfach etwas nachlesen möchte, ist der Kunde bei einer solchen Fehlermeldung in der Regel weg. Denn gerade bei Online-Shops oder beim Homebanking muss der Kunde der Website vertrauen können und wissen, dass seine Daten bei der Übertragung nicht von Dritten abgegriffen werden. Website-Betreiber sollten deshalb unbedingt sicherstellen, dass Zertifikatsfehler gar nicht erst auftreten. Tatsächlich kann es zu Zertifikatsfehlern kommen, wenn das Zertifikat selbst Probleme macht oder aber wenn es Fehler in der Zertifikatsverwendung durch den Server gibt", so Heutger.

Was die einzelnen Fehlermeldungen bedeuten, hat der IT-Sicherheitsexperte übersichtlich zusammengestellt:

"Server-Zertifikat ist abgelaufen"
Bestellt der Websitebetreiber ein SSL-Server-Zertifikat, so hat dies immer eine bestimmte Laufzeit. In aller Regel sind das ein bis zwei Jahre. Liegt das Datum des Tages, an dem die Website besucht wird, außerhalb dieser Laufzeit des Server-Zertifikats, ist eine solche Fehlermeldung die Folge. "Das Server-Zertifikat muss dann erneuert werden, denn abgelaufene Zertifikate sind ein Sicherheitsrisiko. Damit ein abgelaufenes Zertifikat nicht missbräuchlich eingesetzt wird, haben wir beispielsweise einen Erinnerungsservice ins Leben gerufen, der Websitebetreiber rechtzeitig und unaufdringlich per E-Mail an die Verlängerung ihres SSL-Server-Zertifikats erinnert", ergänzt Heutger.

"Server-Zertifikat wurde von einer unbekannten CA ausgegeben"
Eine Zertifizierungsstelle muss anerkannt sein, um als vertrauenswürdig zu gelten. Nur, wenn sie selbst einen Prozess durchlaufen und Vertrauenswürdigkeit bewiesen hat, wird sie in die Listen vertrauenswürdiger Zertifizierungsstellen verschiedener Browser-Entwickler aufgenommen. "Bei dieser Fehlermeldung hat die Zertifizierungsstelle diesen Prozess nicht durchlaufen und kann somit auch nicht als vertrauenswürdig gelten. Aus diesem Grund vertreiben wir beispielsweise ausschließlich SSL-Zertifikate von namhaften Zertifizierungsstellen wie beispielsweise Comodo und Thawte", so Christian Heutger.

"Das Zertifikat für diesen Server ist ungültig"
Womöglich haben sich beim Übertragen des Zertifikats an den Rechner Fehler eingeschlichen oder aber das Server-Zertifikat ist ungültig. "Ein solcher Fehler könnte auftreten, wenn das Server-Zertifikat beschädigt oder manipuliert wurde oder aber in einem nicht bekannten Format geschrieben wurde. Entstehen kann der Fehler auch, wenn das SSL-Zertifikat unlesbar ist", erklärt der Experte. Um sicherzugehen, dass das richtige SSL-Zertifikat auf dem richtigen Server landet, bietet PSW Group einen Installationsservice an. Wahlweise nimmt das Unternehmen seinen Kunden dann einen Teil oder die komplette Installation des SSL-Server-Zertifikats ab.
(PSW Group: ra)

eingetragen: 29.04.16
Home & Newsletterlauf: 20.05.16


PSW Group: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Wenn Kryptojacking auf die Cloud trifft

    Mit prominenten Opfern wie Tesla, Avira und Gemalto tauchte Kryptojacking in der ersten Jahreshälfte 2018 mehrmals in den Schlagzeilen auf. Bei dieser Angriffstechnik kapern Hacker fremde Geräte um Kryptowährungen zu schürfen. Kryptowährungen werden durch das Lösen komplexer mathematischer Probleme generiert. An sich ein legitimer Vorgang, allerdings erfordert dieser eine hohe Rechenleistung und ist damit überaus ressourcenintensiv. Für Kriminelle ist es daher lukrativer, das Schürfen widerrechtlich auf fremde Infrastrukturen auszulagern. Das Kapern von Geräten und Netzwerken und die Bündelung zu einem Botnetz maximiert ihre Schürfkapazitäten und beschert einen höheren Gewinn, da sie diese Ressourcen nicht selbst kostenpflichtig unterhalten müssen. Ebenfalls attraktiv sind die damit verbundenen geringeren Konsequenzen: Fälle von Kryptojacking, insbesondere in den USA, werden von den Behörden weniger aggressiv verfolgt als Angriffe mit Malware oder Ransomware, wo das Schadensausmaß deutlich höher ist.

  • Cyber-Sicherheit braucht permanentes Training

    Auf eine Billion Dollar summieren sich die weltweiten Aufwände im Kampf gegen Cyber-Kriminalität bis 2021 laut einer Studie des Marktbeobachters Cybersecurity Ventures. Damit sich diese Investitionen auszahlen, ist eine umfassende Strategie erforderlich. Denn Cyber-Sicherheit ist wie ein Muskel: Je häufiger er trainiert wird, desto stärker wird er. Trotz umfassender Sicherheitsvorkehrungen bleibt der Mitarbeiter der entscheidende Faktor. Denn Sicherheitssysteme schützen gegen bekannte Gefahren - Mitarbeiter werden mit dem Unbekannten konfrontiert. Die Unternehmens-IT und Mitarbeiter stehen in wechselseitiger Abhängigkeit: "Obwohl Mechanismen der Cyber-Sicherheit das ganze Jahr über einzuhalten sind, sollte man sich jetzt daran erinnern, dass wir alle gemeinsam eine Rolle bei der IT-Sicherheit und Minderung von Risiken spielen", sagt Chris Goettl, Director of Product Management, Security, Ivanti. "Um IT-Abteilungen bei der Schulung von Nutzern zu helfen, haben wir diese Liste der wichtigsten Tipps zusammengestellt. Damit soll die Gefährdung durch Schwachstellen und Bedrohungen verringert werden."

  • Mit einem Hacker auf Business-Trip

    Tom Van de Wiele, Principal Cyber Security Consultant bei F-Secure, ist seit über 15 Jahren als ethischer Hacker unterwegs ist. Der Sicherheitsberater erläutert, auf welche Sicherheitsmaßnahmen es bei Geschäftsreisen ankommt. Um diversen Unternehmen vorzuführen, wie bedroht sie sind, hat der Cybersecurity-Spezialist F-Secure für einen Red Teaming Test seine besten ethischen Hacker bei ihnen versuchsweise einbrechen lassen. Tom Van de Wiele hat zuletzt im Cyber Security Sauna Podcast von F-Secure verraten, was beim Thema IT-Sicherheit auf Reisen zu beachten ist.

  • Unerwünschtes Crypto-Mining nimmt zu

    Das BSI stellt im aktuell vorgestellten Lagebericht 2018 fest: Die Bedrohung durch Ransomware verlagert sich Richtung Crypto-Mining. Immer häufiger lagern Webseitenbetreiber das sogenannte Schürfen von Cryptowährungen unbemerkt an Surfer im Internet aus. Alles was es dazu bedarf, ist das Platzieren entsprechender Scripte auf einem Webserver. Daraus sind inzwischen erste Geschäftsmodelle entstanden. "Für Cyberkriminelle ist es ein lohnendes Geschäft, hoch frequentierte Webseiten mit einem Crypto-Miner zu infizieren", sagt Markus Schaffrin, Security-Experte und Geschäftsbereichsleiter Mitgliederservices im eco - Verband der Internetwirtschaft e. V.

  • Florierendes Geschäft mit BEC-as-a-Service

    Cyber-Kriminelle entwickeln ihre Angriffe immer raffinierter. Hat man früher nach dem Gießkannen-Prinzip einfach mal breit zugeschlagen, trifft es heute ausgewählte Ziele. Dabei gibt es typische Vorgehensweisen - Sophos zeigt auf, wie diese aussehen, woran man sie typischerweise erkennt und was sinnvolle Maßnahmen zum Schutz sein können. Im Jahr nach WannaCry und NotPetya - seinerzeit hielten weltweite Ausbrüche innerhalb von nur Stunden Unternehmen und Medien in Atem - hat Ransomware sich leise weiter entwickelt und kommt heute als zunehmend raffiniertes Angriffszenario auf Unternehmen zu. Die "herangewachsenen" Ransomware-Attacken zeichnen sich dadurch aus, dass sie individuell, lukrativer und diffiziler zu stoppen sind. Zudem zeigen sie verheerendere Wirkung auf ihre Opfer, als jene Attacken, die auf Email oder Exploits zur Verbreitung setzen. Und die Angriffe sind derart gestaltet, dass sie leicht zu reproduzieren sind.