Was tue ich, wenn ich vor einem Zertifikat einer »nicht vertrauenswürdigen« Firma gewarnt werde?

Die Meldung, um die es hier geht, kann bei Web-Browsern und E-Mail-Clients auftreten. Sie ist bei den verschiedenen Produkten unterschiedlich formuliert. Beispielsweise bei einer Version des Microsoft Internet Explorer lautet sie:

Das Sicherheitszertifikat wurde von einer Firma ausgestellt, die Sie als nicht vertrauenswürdig eingestuft haben. Überprüfen Sie das Zertifikat, um festzustellen, ob Sie der ausstellenden Institution vertrauen möchten.

Besonders drastisch formuliert auch der Firefox 3, wenn er nach dem Versuch, die Verbindung trotzdem aufzubauen, den Nutzer wissen lässt:

Hiermit übergehen Sie die Identifikation dieser website durch firefox. Seriöse Banken, Geschäfte und andere öffentliche Einrichtungen werden Sie nicht bitten, derartiges zu tun.

Recht haben sie ja schon, aber den Nutzer lassen sie trotzdem ratlos zurück.

Der weitaus häufigste Fall in der Umgebung des LRZ ist der, dass der Server zum LRZ oder zu einer der Münchener Universitäten gehört, besonders bei Verwendung eines Produkts der Mozilla-Suite (Firefox, Mozilla, Thunderbird). Die Mozilla-Entwickler haben sich nämlich, anders als die Entwickler anderer Produkte, bisher nicht zur Integration des benötigten Wurzelzertifikats entschließen können. In diesem Fall importieren Sie das fehlende Zertifikat, und Sie haben Ihre Ruhe. Sie brauchen dann nicht weiterzulesen, es sei denn, Sie interessieren sich für die Hintergründe.

Wenn Sie genau wissen möchten, worum es bei diesen Zertifikaten geht, können Sie den Artikel dazu lesen. Sie können aber auch nach den folgenden Anweisungen vorgehen, ohne sich erst in die Materie einzuarbeiten.

Am besten ist es, das Wurzelzertifikat zu importieren. Ansonsten haben Sie mehrere Möglichkeiten:

• Sie können die Verbindung ablehnen.

• Sie können sie für dieses eine Mal akzeptieren. Damit erreichen Sie die Verschlüsselung der Verbindung, überprüfen aber nicht die Identität des Kommunikationspartners. Das ist schon eine ganze Menge zusätzlicher Sicherheit gegenüber einer einfachen http-Verbindung: man-in-the-middle-Angriffe sind erheblich seltener als schlichtes Mithorchen auf unverschlüsselten Verbindungen.

• Sie können die Verbindung mit diesem WWW-Server akzeptieren, solange das Zertifikat, das Sie nicht überprüft haben, gültig ist (geht nicht bei allen Browsern). Die Folgen sind zunächst dieselben wie im voranstehenden Fall, aber Sie werden künftig nicht mehr gefragt. Sie akzeptieren also diesen Server.

• Sie können auch alle Server mit Zertifikaten dieses Ausstellers akzeptieren, indem Sie nicht das vorgelegte Zertifikat des Servers selbst, sondern das des Zertifikatsausstellers importieren. Das geht dann analog zu dem für LRZ- und DFN-Zertifikate beschriebenen Weg. Wo man dieses Zertifikat allerdings herbekommt, ist nicht immer offensichtlich.

Beim Firefox 3 sind alle diese Umgehungsmöglichkeiten betont unbequem gestaltet, damit die Nutzer lieber das Wurzelzertifikat importieren. Das ist auch sonst die beste Lösung.

Die korrekte und sichere Vorgehensweise ist also in solchen Fällen immer, die Verbindung zunächst abzulehnen und sich das Zertifikat anderweitig zu besorgen. Für den Zugang zu einem E-Mail-Server über IMAP ist das eigentlich die einzige Möglichkeit, da Sie ja auf jeden Fall den Zugriff auf Ihre Mailbox so sicher wie möglich gestalten wollen.

Ist es bei einem WWW-Server von außerhalb des LRZ nicht klar, wo Sie das verlangte Zertifikat herbekommen, dürfen Sie die Verbindung auch einmal wie angeboten akzeptieren, aber nur dann, wenn das Risiko überschaubar ist, also beispielsweise auf keinen Fall, wenn Sie danach persönliche Daten oder Passwörter in ein Formular auf diesem Server eintragen wollen. Entgegen dem ersten Eindruck ist dabei die Option "nur für dieses eine Mal" eher unsicherer als "solange Zertifikat gültig", bei der ja immerhin überprüft wird, ob das unbekannte Zertifikat wenigstens immer dasselbe bleibt.