Zertifikate-Wirrwarr: Aus dem verschlüsselten Nähkästchen geplaudert
Während wir die weiteren Interviews der Zertifizierungsstellen abwarten, plaudern wir in der Zwischenzeit etwas aus unserem Nähkästchen. Immer mal wieder wenden sich verunsicherte Nutzer bezüglich ihrer digitalen Zertifikate an unseren Support: da tauchte plötzlich eine Phishing-Seite im selben Design wie das Original auf – der Websitebetreiber musste kräftig für sein Image kämpfen. Heartbleed war eine äußerst verunsichernde Zeit und auch die neue Generation des Hashalgorithmus‘ SHA-1 sorgte für Verwirrung. Einen Ausschnitt aus verschiedenen Support-Fällen stellen wir Ihnen in den kommenden Wochen vor.
Fälle aus der Praxis für die Praxis
Da wir für Datenschutz einstehen, sind sämtliche Namen, Geschlechter, Websites und sonstigen (persönlichen) Daten aus den geschilderten Fällen geändert. Die Fallbeschreibungen jedoch haben sich abgespielt, wie wir es in den kommenden Wochen schildern werden. Unser Ziel ist es, Ihnen eine Richtung geben zu können, falls Sie ähnliche Probleme kennen. Dass unser Support sehr gerne Ihr Ansprechpartner ist und unsere Fallbeschreibungen keineswegs eine Beratung ersetzen können oder wollen, versteht sich von selbst. Stehen Sie also vor ähnlichen Herausforderungen, ist unser Support-Team gerne Ihr kompetenter Ansprechpartner und berät Sie individuell!
Vorschau: diese Support-Fälle haben wir ausgewählt
Dass Verschlüsselung wichtig ist, um private Daten effektiv zu schützen, wissen seit Snowden viele Firmen und Privatpersonen. Allerdings ist bei Anwendern, die keine Profis im Bereich Verschlüsselung sind, Beratung unabdingbar! Es gilt, das richtige Zertifikat für den jeweiligen Zweck auszuwählen, sich nicht ausschließlich vom Preis leiten zu lassen und auf die Eigenschaften eines Zertifikats zu schauen. Verschlüsselung ist wahrlich nicht gleich Verschlüsselung – das zeigen unsere Support-Fälle beeindruckend.
Ihnen werden die folgenden Support-Anfragen begegnen:
Kostenloses SSL-Zertifikat für Phishing missbraucht
Es war ein heftiger Schock für Herrn M., als eine perfekt scheinende Kopie seiner eigenen Page im Web entdeckte: sein Name, sein CI und auch sein bis dahin hervorragendes Image wurden dazu missbraucht, über eine gefälschte Seite persönliche Daten von ahnungslosen Nutzern abzufischen. Dabei hatte Herr M. scheinbar alles richtig gemacht: er hatte aus den Medien längst von Phishing gehört und dachte, SSL-Zertifikate könnten ihn davor schützen. Was er nicht wusste war, dass die Validierungsart durch eine Zertifizierungsstelle immensen Einfluss auf die Sicherheit hat. Herr M. hat sich nicht beraten lassen, denn er fühlte sich durch Empfehlungen von geschäftlichen Kontakten genügend aufgeklärt. Zu lernen, dass SSL-Zertifikat nicht gleich SSL-Zertifikat ist, war eine bittere, vor allem aber teure Erfahrung für Herrn M.
Heartbleed – eine Lücke, die jede Sicherheit vernichtete
Heartbleed ging als SSL-Super-GAU in die Verschlüsselungsgeschichte ein – unser Support bekam richtig viel zu tun! Einer unserer Kunden, Herr S., nutzte unser Angebot des kostenfreien Austauschs seines kompromittierten Zertifikats. Herr S. zeigte sich sehr dankbar um die Beratung, die er bei unserem Support bekam, da ihm nicht klar gewesen wäre, dass er auch seinen privaten Schlüssel ändern musste – sonst hätte das ausgetauschte Zertifikat nicht die Sicherheit geboten, die notwendig ist.
SHA-1-Zertifikat mit dreijähriger Laufzeit
Frau L. war sich sicher, das richtige Zertifikat für ihren Shop ausgewählt zu haben: sie verkauft für Privat- und Firmenkunden in zwei separaten Shops und entschied sich aus Kostengründen für ein SSL-Zertifikat mit dreijähriger Laufzeit. Einer ihrer Dienstleister wies sie jedoch darauf hin, dass man ihr ein SSL-Zertifikat mit dem Hashalgorithmus SHA-1 verkauft hatte – SHA-1 gilt als unsicher und in den kommenden Monaten werden viele Browser vor SHA-1-Zertifikaten warnen. Frau L. möchte ihre Websitebesucher natürlich unter keinen Umständen aussperren und so kam sie ins Gespräch mit unserem Support.
Das beste Zertifikat schützt nicht vor Konfigurationsfehlern
Herr K. wollte nur das Beste für seine Websitebesucher: die Daten seiner Interessenten und Kunden effizient schützen. Er bestellte ein SSL-Zertifikat und empfand die Installation als kinderleicht – geholfen hatte ihm ein Leitfaden des Anbieters, bei dem er das SSL-Zertifikat bestellt hatte. Nur irgendwas war seltsam … Die Seite lud unglaublich langsam, zeitweise war sie dann gar nicht erreichbar und irgendwie ging alles nicht so, wie in dem Leitfaden beschrieben. Unser Support kämpfte sich zusammen mit Herrn K. durch die Konfiguration und unterstützte ihn dabei, die Daten seiner Websitebesucher wirklich zu schützen.
EV-Zertifikat für die SEO des Online-Shops
Frau L. klingelte nach geraumer Zeit erneut bei uns durch: ihre neue SEO-Agentur hat sie darauf aufmerksam gemacht, dass der Suchmaschinen-Gigant Google Websites, die mit EV-Zertifikaten geschützt sind, besser ranken lässt als vergleichbare Seiten mit geringeren oder fehlenden Schutzmechanismen. Das wollte sie als Wettbewerbsfaktor für ihren Shop nutzen und sie ließ sich ausgiebig bei uns beraten. Dass wir auch bei der Installation helfen konnten, freute Frau L. sehr, denn sie wollte das Beste aus dem SSL-EV-Zertifikat rausholen.
Zertifikate sind nicht übermäßig kompliziert, dennoch kann viel schiefgehen
Ein Fazit unserer neuen Serie von Support-Fällen rund um Verschlüsselung und Zertifikate können wir bereits vorweg nehmen: lassen Sie sich ausführlich von Ihrem Zertifikate-Anbieter beraten. Stellen Sie Fragen noch und nöcher: prüfen Sie, ob das ausgewählte SSL-Zertifikat zum anvisierten Zweck passt, ob die Eigenschaften des Zertifikats dem aktuellen Stand der Technik entsprechen und stellen Sie nicht den Preis der Zertifikate in den Fokus Ihrer Überlegungen. Die in den kommenden Wochen geschilderten Fälle werden zeigen, wie teuer es werden kann, wenn Sie am falschen Ende sparen. Beratung durch Spezialisten ist das A und O bei sicherheitsrelevanten Überlegungen – Ihr Anbieter für Zertifikate sollte in der Lage sein, Sie umfassend und mit allen Vor- und Nachteilen individuell und ehrlich zu beraten.
Schreibe einen Kommentar