Heartbleed macht deutlich, dass sich seit Jahren niemand wirklich Gedanken über die Weiterentwicklung der Internet-Infrastruktur und -Protokolle macht. „Ist ja schon immer gut gegangen“, kann man sagen.

Denn dann liest der Nutzer auf der einen Seite das bei sueddeutsche.de:

Um das künftig zu vermeiden, müssen von Heartbleed betroffene Dienste nun ihre Zertifikate aktualisieren. Zertifikate sind wie beglaubigte Ausweise für Internetseiten. Wer wissen will, ob die verwendeten Anbieter aktuelle Zertifikate haben oder nicht, muss die Einstellungen seines Browsers überprüfen.

Können Sie die Seite Cloudflarechallenge.com problemlos aufrufen, müssen Sie Ihre Einstellungen anpassen. Denn das Zertifikat für die Seite ist widerrufen. Eigentlich müsste der Browser also einen Fehler anzeigen. Bei einem Test der Redaktion haben die Programme Mozilla Firefox, Internet Explorer und Safari die Seite deswegen automatisch geblockt. Chrome hingegen, der Browser von Google, ruft die Seite auf.

Um auf der sicheren Seite zu sein, müssen Chrome-Nutzer die Einstellungen aufrufen, über das Feld am oberen rechten Rand mit den drei Balken. Dort lassen sich die erweiterten Einstellungen anzeigen, um ein Häkchen im Feld „Serverzertifikate auf Sperrung prüfen“ zu setzen.

Wow, toll, Handlungsanweisung.

Und dann muss man auf golem.de zur Kenntnis nehmen, dass der Zertifikatecheck zweifelhaft ist: wenn der Server, der zurückgezogene Zertifakte verzeichnet, nicht erreichbar ist, dann gibt der Browser sein OK.

In der Praxis hat sich daher erwiesen, dass eine strenge Gültigkeitsprüfung zu viele Probleme verursacht. Alle Browser haben daher OCSP nur auf unsichere Weise implementiert: Wenn der Check keine Antwort vom Server erhält, wird das Zertifikat weiterhin als gültig angesehen. Doch damit ist die Sicherheit von OCSP komplett untergraben. Denn OCSP soll ja davor schützen, dass ein Angreifer mit einem zurückgezogenen Zertifikat, zu dem er den privaten Schlüssel geklaut hat, einem Nutzer eine falsche Webseite vorgaukeln kann – ein klassischer Man-in-the-Middle-Angriff. Ein Angreifer kann natürlich auch die Verbindungen zum OCSP-Server schlicht verhindern und ins Leere laufen lassen.

Die Entwickler von Google haben daher vor einiger Zeit schon eine pragmatische Lösung gewählt: Wenn OCSP sowieso keine Sicherheit bietet, kann man es auch abschalten. Die Prüfung lässt sich manuell wieder aktivieren („Serverzertifikate auf Sperrung prüfen“ unter den erweiterten Einstellungen).

Ja, Super. In Folge wird eine Methode vorgestellt, die zu einer etwas sichereren Zertifikatskontrolle führen kann, aber anscheinend wird das nicht weiterverfolgt.

Diese wichtige Infrastruktur namens Internet ist auf ganz wackeligen Beinen unterwegs.