Diese Seite ist nur verschlüsselt erreichbar. Wer http://ctrnx.de aufruft, wird auf https://ctrnx.de weitergeleitet. Damit ist eine Verschlüsselung der HTTP-Verbindung zu dieser Webseite gemeint, die per Transportschicht-Sicherheit (TLS) erfolgt. Das ist ein asynchrones Verschlüsselungsverfahren, ähnlich dem PGP für E-Mails. Der wichtigste Unterschied von TLS zu PGP ist, dass die Zertifikate bei TLS von einem „vertrauenswürdigen Dritten“ zertifiziert und „für echt“ befunden werden. Davon mag man halten, was man möchte. Wichtig ist mir nur, dass die Verbindung verschlüsselt ist – ob ihr mir tatsächlich glaubt, dass ich auch der bin für den ich mich ausgebe ist mir einerlei.
Praktisch bedeutet das, man erzeugt sich selbst ein Zertifikat und lässt dann den öffentlichen Teil von solch einer Certificate Authority signieren. Eine nützliche Anleitung gibt es bei Heise. Die meisten Zertifizierungsstellen erwarten für ihre Dienste eine finanzielle Gegenleistung. Es gibt meines Wissens nach nur ein einziges Unternehmen, dass auch kostenlose Zertifikate ausstellt, die länger als einen Monat gültig sind – ein ganzes Jahr sogar. Wie heißt es so schön: „Wenn du für den Dienst nichts zahlst, bist du das Produkt!“. Von daher, ist das nochmal eine Nummer dubioser. Aber wie auch immer: mein Zertifikat ist genau von diesem israelischen Unternehmen signiert. Das gute ist, sie sind so in die TLS-Infrastuktur integriert, dass sie in allen gängigen Browsern als „vertrauenswürdig“ gelten.
Die einzige derzeitige Alternative für kostenlose Zertifikate (wenn man sie nicht selbstsigniert sein sollen) wäre CACert, eine dezentralisierte Gemeinschaft, die als Zertifizierungsstelle fungiert. Einziges Manko: sie werden von den Browsern per default nicht akzeptiert und als „Unsicher!!!einself“ deklariert. Was sie nicht sind. Sie sind lediglich unbekannt. Dem kann man aber abhelfen.
In Zukunft wird die Geschichte mit TLS-Zertifikaten noch einfacher: Ein Konsortium bestehend aus der EFF, Mozilla, Akamai und Cisco wollen eine neue Zertifizierungsstelle in die Browser bringen, die kostenlose Zertifikate ausstellt – in erster Linie für Privatmenschen wie mich. Die neue Zertifizierungsstelle wird Let’s Encrypt heißen. Seit gestern gibt es ihr erstes Zertifikat zu bewundern – nachdem man ihr Stammzertifikat akzepiert hat. Letzteres ist nur temporär vonnöten, solange sie noch nicht von ihrem Partner IdenTrust querzertifiziert sind. Auf lange Sicht wollen sie direkt mit ihrem Stammzertifikat in die Browser, das kann aber noch ein paar Monate dauern.
Bis die Querzertifizierung durch ist, werde ich noch mein derzeitiges Zertifikat behalten. Anschließend will ich zügig wechseln. Denn meine derzeitige CA ist mir nicht wirklich geheuer.