Was ist ein selbstsigniertes Zertifikat?

Ein selbstsigniertes TLS/SSL-Zertifikat wird nicht von einer öffentlich vertrauenswürdigen Zertifizierungsstelle (CA) signiert, sondern von dem Entwickler oder dem Unternehmen, das für die Website verantwortlich ist. Da sie nicht von einer öffentlich vertrauenswürdigen Zertifizierungsstelle signiert werden, gelten sie in der Regel als unsicher für öffentliche Anwendungen und Websites.

Die Rolle einer öffentlichen Zertifizierungsstelle besteht darin, die Gültigkeit der in einem Zertifikat enthaltenen Informationen zu garantieren, insbesondere das Eigentum und/oder die Kontrolle über den/die mit dem Zertifikat verbundenen Domain-Namen im Falle von TLS/SSL. Die Verwendung von selbstsignierten Zertifikaten ist daher gleichbedeutend mit der Verwendung von Anmeldeinformationen, die nicht von einer gültigen Behörde ausgestellt wurden.

Der Ausdruck „selbstsignierte Zertifikate“ bezieht sich in der Regel auf TLS/SSL-Zertifikate, die eigenständig und ohne Verknüpfung mit einem Stamm- oder Zwischenzertifikat erstellt wurden. Dies kann auch für andere digitale X.509-Signaturzertifikate wie S/MIME, Codesignierung und Dokumentensignierung gelten.

Selbstsignierte Zertifikate legen naturgemäß die Annahme nahe, dass die Informationen auf dem Zertifikat nicht von einer vertrauenswürdigen Partei (einer öffentlichen Zertifizierungsstelle) überprüft wurden, und solche Zertifikate lösen eine Sicherheitsmeldung aus: Webbrowser und Betriebssysteme erkennen und kennzeichnen Zertifikate, die nicht von einer öffentlich vertrauenswürdigen Zertifizierungsstelle signiert wurden, weil sie ein Sicherheitsrisiko für den Benutzer darstellen: Das Zertifikat stammt nicht von einer vertrauenswürdigen Partei, so dass es das Werk eines Angreifers sein könnte, der einen Man-in-the-Middle-Angriff durchführt.

Diese Warnmeldungen vergraulen Benutzer, die befürchten, dass ihre persönlichen oder finanziellen Daten durch die Interaktion mit Ihrer Website gefährdet sein könnten.

Selbstsignierte Zertifikate – ob für TLS/SSL, S/MIME, Dokumentsignierung oder Codesignierung – können eine beliebige Gültigkeitsdauer aufweisen, da sie keinen Vorschriften unterliegen. Sie müssen jedoch verlängert und erneut bereitgestellt werden, bevor sie ablaufen. Je länger die Gültigkeitsdauer ist, desto größer ist die Gefahr, dass die Existenz des Zertifikats und sein Ablaufdatum vergessen werden.

Im Gegensatz zu selbstsignierten Zertifikaten können öffentlich vertrauenswürdige TLS/SSL-Zertifikate nicht für eine Dauer von mehr als 13 Monate ausgestellt werden. Vor 2015 betrug die maximal zulässige Gültigkeitsdauer fünf Jahre, wurde aber schrittweise auf ein Jahr reduziert. Dies gilt für TLS/SSL-Zertifikate des Typs Extended Validation (EV) und Organization Validation (OV).

Die Verwendung eines selbstsignierten Zertifikats bedeutet, dass Sie sich dafür entscheiden, ohne die Unterstützung einer vertrauenswürdigen Zertifizierungsstelle vorzugehen, um die Gültigkeit der Zertifikatsdetails zu garantieren. Standardmäßig wird selbstsignierten Zertifikaten von Webbrowsern und Betriebssystemen nicht vertraut. Es liegt in der Verantwortung der einzelnen Benutzer, die Sicherheitswarnung zu umgehen, indem sie jedes selbstsignierte Zertifikat, das ihnen auf verschiedenen Geräten unterkommt, einzeln manuell genehmigen. Außerdem wird in Warnmeldungen darauf hingewiesen, dass selbstsignierte Zertifikate ein Sicherheitsrisiko darstellen können, sodass es unwahrscheinlich ist, dass die Benutzer damit fortfahren.

Selbstsignierte TLS/SSL-Zertifikate werden von Browsern gekennzeichnet, da sie nicht von vertrauenswürdigen Zertifizierungsstellen ausgestellt werden, so dass es keine Garantie für die Rechtmäßigkeit des Zertifikats gibt. Der Browser zeigt eine Warnung an, die besagt, dass das Zertifikat der Website nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde und daher die Sicherheit der Verbindung nicht gewährleistet ist.

Sicherheitswarnungen von Browsern und Betriebssystemen schrecken den Endnutzer davon ab, die Website oder Anwendung zu nutzen, da er sie als unsicher empfindet. Aus diesem Grund werden selbstsignierte Zertifikate in der Regel nur für Testumgebungen oder interne Netzwerke mit geringem Risiko verwendet.

Selbstsignierte TLS/SSL-Zertifikate sind in einer Testumgebung sicher und Sie können sie verwenden, während Sie darauf warten, dass Ihre Zertifikate von einer öffentlichen Zertifizierungsstelle ausgestellt werden. Wenn Sie sie jedoch in einer Produktionsumgebung einsetzen, wird der Verkehr auf Ihrer Website oder Anwendung erheblich zurückgehen und das Vertrauen der Nutzer schwinden.

Einige Organisationen finden es interessant, selbstsignierte TLS/SSL-Zertifikate zu verwenden, da sie kostenlos generiert werden können. Was sie jedoch oft nicht bedenken, sind die Vertrauensrisiken und der Wartungsaufwand, der mit selbstsignierten Zertifikaten einhergeht. Insbesondere ihre Verlängerung kann erhebliche versteckte Kosten mit sich bringen.

Ein selbstsigniertes TLS/SSL-Zertifikat wird mit seinem eigenen privaten Schlüssel signiert und ist nicht an eine Zwischen- oder Stammzertifizierungsstelle gekoppelt. Selbstsignierte Zertifikate werden von dem Unternehmen oder dem Entwickler, der für die Wartung der zu signierenden Website verantwortlich ist, erstellt, ausgestellt und signiert. Während dies eine Möglichkeit sein könnte, die Kosten für Zertifikate für interne Websites zu senken, ist es für öffentliche Websites und Anwendungen keine gute Idee.

Kompromittierte private Schlüssel können eine große Bedrohung für die Infrastruktur der Organisation darstellen. Sie können kompromittierte Zertifikate an die ausstellende Zertifizierungsstelle melden, die sie dann umgehend widerrufen wird. Für selbstsignierte Zertifikate gibt es jedoch keinen vertrauenswürdigen Widerrufsmechanismus.

Darüber hinaus versäumen es Unternehmen oft, ihre selbstsignierten Zertifikate zu überwachen, sodass abgelaufene oder gefährdete Zertifikate übersehen werden oder unbemerkt bleiben. Solche kompromittierten Zertifikate sind das Einfallstor für böswillige Akteure, die sich Zugang zum Netzwerk verschaffen und fortschrittliche und ausgeklügelte Malware-Angriffe, Man-in-the-Middle-Angriffe (MITM), Phishing-Angriffe und Botnets starten.

Keine Garantie und kein technischer Support

Öffentliche Zertifizierungsstellen bieten Support, Fachwissen und Verwaltungstools im Zusammenhang mit ihren Zertifikate an. Für selbstsignierte Zertifikate gibt es jedoch keine Unterstützung, kein Fachwissen und kein Verwaltungstool, da diese Zertifikate intern erstellt werden. Sie brauchen personelle und finanzielle Ressourcen, um die Kontrolle über diese zu behalten.

Mangelnde Sichtbarkeit und Kontrolle

Unternehmen verwenden Tausende von digitalen Zertifikaten, die sowohl von privaten als auch von öffentlichen Zertifizierungsstellen ausgestellt werden, und es ist schwierig, manuell den Überblick über jedes einzelne dieser Zertifikate zu behalten. Das Wissen darüber, wie viele Zertifikate es gibt, wem sie gehören, wo sie sich befinden und wo die privaten Schlüssel gespeichert sind, ist für die Stärkung der Cyberabwehr von entscheidender Bedeutung.

Unternehmen, die zahllose selbstsignierte Zertifikate verwenden, haben oft einen unklaren Einblick in die Zertifikatsinfrastruktur. Wenn es in Ihrem Unternehmensnetzwerk zu einer Sicherheitsverletzung kommt, wissen Sie leider nicht, ob diese auf ein kompromittiertes selbstsigniertes Zertifikat und den damit verbundenen privaten Schlüssel zurückzuführen ist.

Nicht erfüllte Sicherheitsanforderungen

Digitale Zertifikate, die von vertrauenswürdigen Zertifizierungsstellen ausgestellt werden, halten robuste Standards ein, während selbstsignierte Zertifikate intern generiert werden und aufgrund mangelnder Kenntnisse und fehlender Best Practices nur selten den neuesten Sicherheitsstandards entsprechen.

Die Verwaltung und Überwachung aller in einem Unternehmensnetz vorhandenen digitalen Zertifikate und Schlüssel ist von entscheidender Bedeutung. Sämtliche Zertifikate – ob von Zertifizierungsstellen ausgestellt oder selbstsigniert –, die für das Funktionieren interner und öffentlicher Websites verantwortlich sind, müssen gesichert und geschützt werden und unterliegen einer ständigen Überwachung.

Für rein interne LAN-Dienste können Sie selbstsignierte Zertifikate verwenden. Sie müssen jedoch unbedingt eine strenge Richtlinie einführen, um sicherzustellen, dass der Server der ausstellenden Zertifizierungsstelle effektiv vor Cyberkriminellen geschützt ist und sich an einem Ort befindet, der nicht für alle Mitarbeitenden Ihrer Organisation zugänglich ist. Wichtig ist außerdem, dass Sie über Überwachungstools und ein dediziertes Team für die Verwaltung des Zertifikatsbestands verfügen.