SSL: Microsoft wirft zum neuen Jahr einige Zertifizierungsstellen raus

Wenn im Internet vertrauliche Daten übertragen werden, dann geschieht das idealerweise über eine verschlüsselte Verbindung. Das alleine ist aber noch keine Garantie dafür, dass die Daten nicht in fremde Hände geraten. Der Empfänger der Daten identifiziert sich mit einem Zertifikat, welches er sich natürlich nicht selbst ausstellen kann, sondern von einem Herausgeber (Certificate Authority, kurz CA) erhält. Wenn wir als Nutzer selbst verifizieren müssten, dass da alles mit rechten Dingen zugeht und wir der verschlüsselten Verbindung wirklich vertrauen können, hätten wir viel zu tun.

Darum pflegt Microsoft den Trusted Root CA Store. In diesem sind alle Herausgeber von Zertifikaten aufgelistet, die sich an den vorgegebenen Zertifizierungsprozess halten. Allen SSL-Zertifikaten, die von einem im Trusted Root CA Store geführten Herausgeber stammen, werden von Windows als vertrauenswürdig eingestuft und im Browser ohne Nachfrage akzeptiert. Schlägt diese Einstufung fehl, erscheint die Meldung, dass dem Herausgeber nicht vertraut wird – habt Ihr sicher alle schon mal gesehen.

In Kürze könnte es passieren, dass diese Meldung öfter auftaucht. Denn zum neuen Jahr bereinigt Microsoft den Trusted Root CA Store von Windows und entfernt einige Zertifizierungsstellen. Und zwar all jene, die sich nicht an die strengeren Regeln halten, die zum Jahreswechsel in Kraft getreten sind.

Diese neuen Richtlinien kommen natürlich nicht überraschend, über die anstehenden Änderungen wurden die Herausgeber bereits in der ersten Jahreshälfte von 2015 informiert. Im Idealfall bekommt Ihr deshalb von diesen Änderungen nichts mit.

Wenn Euch die Meldung angezeigt wird, dass einem Zertifikat nicht vertraut wird, dann sollte man natürlich wachsam werden. Es bedeutet zwar nicht, dass es automatisch gefährlich ist, den Vorgang fortzusetzen, aber man sollte im Einzelfall abwägen, ob man die Meldung ignoriert oder den Vorgang besser abbricht. Überwall, wo besonders sensible Informationen wie z.B. Bank- oder Kreditkartendaten übertragen werden, sollte man keine Kompromisse machen.

Und der Vollständigkeit wegen muss man auch erwähnen, dass es in der Vergangenheit Fälle gab, in denen sich als vertrauenswürdig eingestufte Zertifikate im Nachhinein als unsicher erwiesen. Ihr wisst ja, 100% gibt’s nur bei Fruchtsaft.

Quelle: Microsoft