Konferenzbeitrag
Nutzung von selbstsignierten Client-Zertifikaten zur Authentifikation bei SSL/TLS
Lade...
Volltext URI
Dokumententyp
Text/Conference Paper
Dateien
Zusatzinformation
Datum
2008
Autor:innen
Zeitschriftentitel
ISSN der Zeitschrift
Bandtitel
Verlag
Gesellschaft für Informatik e. V.
Zusammenfassung
Für die sichere browserbasierte Kommunikation im Internet wird heutzutage häufig das SSL-Protokoll benutzt. In der Regel weist sich der Server dabei mit einem von einer vertrauenswürdigen Partei (CA) signierten Zertifikat gegenüber dem Benutzer aus. Der Benutzer authentifiziert sich über einen Login mit Benutzername und Passwort. Diese Form der Authentifizierung ist allerdings anfällig für Attacken wie Phishing, Pharming und Identitätsdiebstahl, da sich jeder Angreifer, der in den Besitz des Passworts kommt, erfolgreich damit bei dem Server authentifizieren kann. Ausserdem zeigt die Erfahrung, dass viele Benutzer nicht darauf achten, ob ihr Passwort stets über eine sichere Verbindung übertragen wird. Um diesen Risikofaktor zu eliminieren, kann sich ein Benutzer bei SSL auch mit einem Zertifikat gegenüber dem Server authentifizieren. Dies wird allerdings in der Praxis selten genutzt, da kaum ein Webservice diese Möglichkeit anbietet und nur die wenigsten Benutzer über ein Zertifikat von einer kommerziellen Certification Authority (CA) verfügen. Wir präsentieren in dieser Arbeit einen Ansatz zur Verwendung von selbstsignierten Client-Zertifikaten, welcher im Wesentlichen darauf basiert dass der Benutzer sich selbst ein Zertifikat ausstellt und sich damit beim Server authentifiziert. Beispielhaft wurde hierfür ein Plugin für den Firefox-Browser [Moz07] implementiert und mit dem Apache-Webserver [Apa07] getestet.