- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Zertifikatsfehler sollten erst gar nicht auftreten


Fehlermeldung beim SSL-Zertifikat: Wenn der Browser der Verbindung nicht vertraut
Bestellt der Websitebetreiber ein SSL-Server-Zertifikat, so hat dies immer eine bestimmte Laufzeit

- Anzeigen -





Um den Einsatz von SSL-Zertifikaten führt kaum noch ein Weg vorbei. Denn damit gestalten Webseitenbetreiber die Kommunikation zwischen den Browsern ihrer Besucher und dem eigenen Server aufgrund der den Zertifikaten zugrunde liegenden hochgradigen Verschlüsselung als sicher. Nutzerdaten wie Passwörter, Bankverbindungen oder Personendaten können von Cyberkriminellen somit nicht ausgespäht werden.

"Ein SSL-Zertifikat garantiert auch, dass der Webshop-Betreiber durch eine dritte Instanz geprüft und seine Identität sichergestellt wurde. Dank einer SSL-Verschlüsselung können obendrein Angriffsszenarien wie sogenannte Man-in-the-Middle-Attacken; bei denen sich ein unbefugter Dritter zwischen Client und Server schaltet, sich als Gesprächspartner ausgibt und die Kommunikation nicht nur belauschen, sondern auch verfälschen kann; effizient vermieden werden", informiert Christian Heutger, Geschäftsführer der PSW Group. Ist das SSL-Zertifikat korrekt integriert, wird es von jedem Browser geprüft, sobald die Verbindung über das sichere HTTPS-Protokoll hergestellt wird.

Umso schlimmer, wenn beim Besuch einer Website die Warnmeldung "Der Verbindung wird nicht vertraut" aufblinkt. Wird eine solche Warnung trotz vorhandenem Zertifikat angezeigt, ist es an sich kein Weltuntergang. Es bedeutet jedoch, dass der Webbrowser die Identität der besuchten Website nicht verifizieren kann und der Besucher vorsichtig sein sollte.

"Wenn es sich also nicht gerade nur um die Online-Ausgabe der Tageszeitung handelt, in der der Besucher einfach etwas nachlesen möchte, ist der Kunde bei einer solchen Fehlermeldung in der Regel weg. Denn gerade bei Online-Shops oder beim Homebanking muss der Kunde der Website vertrauen können und wissen, dass seine Daten bei der Übertragung nicht von Dritten abgegriffen werden. Website-Betreiber sollten deshalb unbedingt sicherstellen, dass Zertifikatsfehler gar nicht erst auftreten. Tatsächlich kann es zu Zertifikatsfehlern kommen, wenn das Zertifikat selbst Probleme macht oder aber wenn es Fehler in der Zertifikatsverwendung durch den Server gibt", so Heutger.

Was die einzelnen Fehlermeldungen bedeuten, hat der IT-Sicherheitsexperte übersichtlich zusammengestellt:

"Server-Zertifikat ist abgelaufen"
Bestellt der Websitebetreiber ein SSL-Server-Zertifikat, so hat dies immer eine bestimmte Laufzeit. In aller Regel sind das ein bis zwei Jahre. Liegt das Datum des Tages, an dem die Website besucht wird, außerhalb dieser Laufzeit des Server-Zertifikats, ist eine solche Fehlermeldung die Folge. "Das Server-Zertifikat muss dann erneuert werden, denn abgelaufene Zertifikate sind ein Sicherheitsrisiko. Damit ein abgelaufenes Zertifikat nicht missbräuchlich eingesetzt wird, haben wir beispielsweise einen Erinnerungsservice ins Leben gerufen, der Websitebetreiber rechtzeitig und unaufdringlich per E-Mail an die Verlängerung ihres SSL-Server-Zertifikats erinnert", ergänzt Heutger.

"Server-Zertifikat wurde von einer unbekannten CA ausgegeben"
Eine Zertifizierungsstelle muss anerkannt sein, um als vertrauenswürdig zu gelten. Nur, wenn sie selbst einen Prozess durchlaufen und Vertrauenswürdigkeit bewiesen hat, wird sie in die Listen vertrauenswürdiger Zertifizierungsstellen verschiedener Browser-Entwickler aufgenommen. "Bei dieser Fehlermeldung hat die Zertifizierungsstelle diesen Prozess nicht durchlaufen und kann somit auch nicht als vertrauenswürdig gelten. Aus diesem Grund vertreiben wir beispielsweise ausschließlich SSL-Zertifikate von namhaften Zertifizierungsstellen wie beispielsweise Comodo und Thawte", so Christian Heutger.

"Das Zertifikat für diesen Server ist ungültig"
Womöglich haben sich beim Übertragen des Zertifikats an den Rechner Fehler eingeschlichen oder aber das Server-Zertifikat ist ungültig. "Ein solcher Fehler könnte auftreten, wenn das Server-Zertifikat beschädigt oder manipuliert wurde oder aber in einem nicht bekannten Format geschrieben wurde. Entstehen kann der Fehler auch, wenn das SSL-Zertifikat unlesbar ist", erklärt der Experte. Um sicherzugehen, dass das richtige SSL-Zertifikat auf dem richtigen Server landet, bietet PSW Group einen Installationsservice an. Wahlweise nimmt das Unternehmen seinen Kunden dann einen Teil oder die komplette Installation des SSL-Server-Zertifikats ab.
(PSW Group: ra)

eingetragen: 29.04.16
Home & Newsletterlauf: 20.05.16


PSW Group: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Detektion bislang unbekannter Verhaltensmuster

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinem Ende Februar veröffentlichten Whitepaper "Monitoring und Anomalieerkennung in Produktionsnetzwerken" die Nutzung einer Anomalieerkennung in industriellen Steuerungsnetzen außerordentlich empfohlen. Rhebo hat an dem Whitepaper maßgeblich Inhalte beigesteuert. Unter anderem waren Ergebnisse aus Industrie 4.0 Stabilitäts- und Sicherheitsaudits und Langzeitmonitoring-Projekten Grundlage für die Definition der Anforderungen an die Systeme.

  • Trojaner Emotet gefährlicher denn je

    Die Gefahr, die von dem Trojaner Emotet ausgeht, ist noch nicht vorüber. Ganz im Gegenteil: "Die Risiken, die durch den Trojaner entstehen können, werden immer größer und Emotet gilt schon jetzt als eines der gefährlichsten Schadprogramme der Welt", warnt Christian Heutger, IT-Sicherheitsexperte und Geschäftsführer der PSW Group nachdrücklich. Erstmal trat Emotet im Dezember letzten Jahres auf den Plan. Nachdem der Trojaner eine kleine Weihnachtspause eingelegt hat, finden sich jetzt wieder massenhaft Spam-E-Mails mit dem Schädling anbei in zahlreichen Postfächern. Hinzu kommt: Virenscanner erkennen den Trojaner oft noch nicht.

  • Angriffe auf Produktionsanlagen

    Im Produktionsumfeld kommen noch immer technische Komponenten und Bauteile zum Einsatz, die über keinen oder bestenfalls einen unzureichenden Schutz vor Cyber-Angriffen verfügen. Mit Best Practices von NTT Security können Unternehmen zentrale Sicherheitsanforderungen wie Schwachstellen- und Patch-Management oder Incident-Handling-Management umsetzen und ihre Maschinen und Anlagen wirksam schützen. In vielen Fällen sind Industrieanlagen ein leichtes Ziel für Hacker. Das Schwachstellen-Management ist in diesem Umfeld bislang weitgehend unbekannt, vor allem aber fehlt auch das Sicherheitsbewusstsein. Unternehmen begeben sich daher in die größte Gefahr, Opfer von Cyber-Attacken zu werden, denen sie schutzlos ausgeliefert sind. Angreifer nutzen diesen Bewusstseinsmangel gezielt aus, wie der Global Threat Intelligence Report 2018 von NTT Security ergeben hat: In Deutschland entfielen 36 Prozent aller Cyber-Attacken auf die Fertigungsindustrie. Das sind, im Vergleich, deutlich mehr Angriffe als auf andere Branchen - ein starkes Indiz dafür, dass ein Großteil auf Produktionsanlagen zielte.

  • Data Warehouse erfolgreich automatisieren

    Volume, Velocity, Variety, Veracity. Im englischen IT-Sprachgebrauch haben sich die vier Vs der Datenspeicherung längst etabliert. Volumen, Geschwindigkeit, Vielfalt und Wahrhaftigkeit gilt es in Einklang zu bringen, um die Daten eines Unternehmens erfolgreich verwalten zu können. Herkömmliche Data Warehouse-Infrastrukturen sind häufig nicht mehr in der Lage, die enormen Datenmengen, die Vielfalt der Datentypen, die Geschwindigkeit mit der Daten entstehen, ausgewertet und weiterverarbeitet werden sowie die Fehlerfreiheit von Daten zu managen. In Zeiten, in denen Daten für Unternehmen immer wertvoller werden, hat sich mittlerweile ein fünftes "V" zum bestehenden Quartett dazugesellt: V für Value beschreibt den Wert der Daten für das Unternehmen.

  • Fernüberwachung von kritischen IT-Infrastrukturen

    Können aufgrund eines Netzwerkausfalls Mitarbeiter nicht mehr auf ihre Arbeitsumgebung zugreifen oder werden ganze Produktionsabläufe oder Auslieferungsprozesse gestört, kann es teuer werden: 4.900 Euro pro Minute kostet Downtime ein Unternehmen durchschnittlich laut Gartner. Bezieht man unterschiedliche Unternehmensbranchen mit ein, reichen die Downtime-Kosten von 120.000 Euro bis zu 475.000 Euro pro Stunde. Grund für die hohen Ausfallzeitkosten ist die immer umfangreichere Digitalisierung verschiedenster Unternehmensprozesse. Überall laufen mehr und mehr kritische Daten über Netzwerke. So wird der Zugriff beispielsweise auf Anwendungen und Daten aus der Cloud in vielen Unternehmen mittlerweile häufig unabdingbar, um reibungslose Geschäftsabläufe zu gewährleisten. Das Absichern einer robusten Connectivity ist auch für den IoT-Bereich geschäftskritisch.