Dieses Dokument wird von Netscape/Mozilla nur zu Ihrer Information zur Verfügung gestellt. Es mag Ihnen helfen, bestimmte Schritte zu unternehmen, die die Privatsphäre und Sicherheit Ihrer persönlichen Informationen im Internet schützen. Dieses Dokument adressiert jedoch nicht alle Fragen der Privatsphäre und Sicherheit im Internet, noch repräsentiert es eine Empfehlung von Netscape/Mozilla darüber, was adäquater Schutz der Privatsphäre und Sicherheit im Internet bedeutet.

Benutzung von Zertifikaten

Ein Zertikat ist das digitale Gegenstück zu einer ID-Karte. Genauso wie Sie mehrere ID-Karten für verschiedene Zwecke haben können, wie einen Führerschein, eine Beschäftigungs-ID-Karte oder eine Kreditkarte, können Sie auch mehrere verschiedene Zertifikate besitzen, die Sie für verschiedene Zwecke identifizieren.

Dieser Abschnitt beschreibt, wie verschiedene auf Zertifikate bezogene Operationen durchgeführt werden.

In diesem Abschnitt:

Erhalt Ihres eigenen Zertifikates

Sicherheit einer Webseite überprüfen

Zertifikate verwalten

Verwaltung von Smart-Cards und anderen Sicherheitseinrichtungen

Verwaltung von SSL-Warnungen und -Einstellungen

Steuerung der Validierung

Zertifikat-Einstellungen

 


Erhalt Ihres eigenen Zertifikates

Ähnlich wie eine Kreditkarte oder ein Führerschein ist ein Zertifikat eine Form der Identifikation, die Sie nutzen könenn, um sich selbst über das Internet oder andere Netzwerke zu identifizieren. Wie andere häufig genutzte persönliche Identifikationen, wird ein Zertifikat typischerweise von einer Organisation mit einer anerkannten Autorität, solche Identifikation auszustellen, ausgegeben. Eine Organisation, die Zertifikate ausstellt, wird als Zertifizierungsstelle (certificate authority (CA)) bezeichnet.

Sie können Sie identifizierende Zertifikate von öffentlichen CAs, System-Administratoren, speziellen CAs innerhalb Ihrer Organisation oder von Webseiten erhalten, die eine verläßlichere Art der Identifikation als Ihren Namen und Ihr Passwort erfordern.

Genauso wie die Erfordernisse für einen Führerschen in Abhängigkeit von dem Fahrzeugtyp variieren, das Sie fahren möchten, sind auch die Erfordernisse zum Erhalt eines Zertifikates abhängig davon, wofür Sie es benutzen möchten. In einigen Fällen kann der Erhalt des Zertifikates so einfach sein wie der Besuch einer Webseite, Eingabe einiger persönlicher Informationen und dem automatischen Abruf des Zertifikats in Ihren Browser. In anderen Fällen müssen Sie einen komplizierteren Prozess durchlaufen.

Heute können Sie ein Zertifikat erhalten, indem Sie die URL einer Zertifizierungsstelle aufsuchen und den Online-Anweisungen folgen. Wegen einer Liste von Zertifizierungsstellen s. das Online-Dokument Client-Zertifikate.

Sobald Sie ein Zertifikat erhalten, wird es automatisch in einer Sicherheitseinrichtung gespeichert. Ihr Browser hat bereits seine eigene eingebaute Software-Sicherheitseinrichtung. Eine Sicherheitseinrichtung kann auch ein Stück Hardware sein, wie z. B. eine Smart-Card.

Wie ein Führerschein ode eine Kreditkarte ist ein Zertifikat eine wertvolle Form der Identifikation, die mißbraucht werden kann, wenn sie in die falschen Hände fällt. Sobald Sie ein Zertifikat erhalten haben, das Sie identifiziert, sollten Sie es auf zweierlei Art sichern: indem Sie eine Kopie erstellen und durch das Setzen Ihres Master-Passwortes.

Wenn Sie zum ersten Mal ein Zertifikat erhalten, könnten Sie aufgefordert werden, eine Kopie zu erstellen. Wenn Sie bisher noch kein Master-Passwort erstellt haben, werden Sie aufgefordert, eines zu erstellen.

Wegen ausführlicher Informationen über das Sichern eines Zertifikates und Setzen Ihres Master-Passwortes, s. Ihre Zertifikate.

Zurück zum Beginn des Abschnittes ]

 


Sicherheit einer Webseite überprüfen

Wenn Sie irgendeine Webseite betrachten, informiert Sie das Schloss-Icon neben der rechten unteren Ecke des Fensters darüber, ob der gesamte Inhalt der Seite durch Verschlüsselung geschützt war, während sie von Ihrem Computer empfangen wurde.

 closed lock icon Ein geschlossenes Schloss bedeutet, das die Seite während des Empfangs durch Verschlüsselung geschützt war.
   
 open lock icon Ein offenes Schloss bedeutet, das die Seite während des Empfangs nicht durch Verschlüsselung geschützt war.
   
 broken lock icon Ein zerbrochenes Schloss bedeutet, das einige oder alle der Elemente innerhalb der Seite während des Empfangs nicht durch Verschlüsselung geschützt war, selbst wenn die äußerste HTML-Seite verschlüsselt war.

Wegen weiterer Einzelheiten über den Verschlüsselungsstatus der Seite während des Empfangs klicken Sie auf das Schloss-Icon (oder öffnen Sie das Ansicht-Menü, wählen Seiten-Information und dann den Tab Sicherheit).

Der Tab Sicherheit der Seiten-Informationen bietet zwei Arten von Informationen:

Wichtig: Das Schloss-Icon beschreibt nur den Verschlüsselungs-Status der Seite, während sie von Ihrem Computer empfangen wurde. Wenn Sie benachrichtigt werden wollen, bevor Sie Informationen ohne Verschlüsselung senden oder empfangen, wählen Sie die entsprechenden SSL-Warnungs-Optionen. Siehe Privatsphäre & Sicherheitseinstellungen - SSL wegen Einzelheiten.

Zurück zum Beginn des Abschnitts ]

 


Zertifikate verwalten

Sie können den Zertifikat-Manger zur Verwaltung Ihrer Zertifikate nutzen. Zertifikate können auf der Festplatte Ihres Computers oder auf einer Smart-Card oder einer anderen, an Ihrem Computer angebrachten Sicherheitseinrichtung gespeichert werden.

Um den Zertifikat-Manager aufzurufen:

  1. Öffnen Sie das Bearbeiten-Menü und wählen Sie Einstellungen.
  2. Unter Privatsphäre & Sicherheit klicken Sie auf Zertifikate. (Wenn keine Unterkategorien sichtbar sind, klicken Sie doppelt auf Privatsphäre & Sicherheit, um die Liste zu erweitern.)
  3. Im Abschnitt Zertifikate wählen Sie Zertifikate verwalten. Der Zertifikat-Manager wird geöffnet.

In diesem Abschnitt:

Verwaltung von Zertifikaten, die Sie identifizieren

Verwaltung von Zertifikaten, die andere identifizieren

Verwaltung von Zertifikaten, die Webseiten identifizieren

Verwaltung von Zertifikaten, die Zertifizierungsstellen identifizieren

 

Verwaltung von Zertifikaten, die Sie identifizieren

Wenn Sie den Zertifikat-Manager öffnen, werden Sie bemerken, das sich am oberen Rand des Fensters mehrere Tabs befinden. Der erste wird Ihre Zertifikate genannt, und er zeigt die Zertifikate an, die Ihr Browser zu Ihrer Zertifizierung zur Verfügung hat. Ihre Zertifikate sind unter den Namen der Orgainisationen aufgeführt, von denen sie ausgegeben wurden.

Um eine Aktion mit einem oder mehrere Zertifikaten durchzuführen, klicken Sie auf den Eintrag für das Zertifikat (oder Strg-Klick um mehr als ein Zertifikat auszuwählen), dann wählen Sie den Ansicht-, Backup- oder Löschen-Button. Jeder dieser Buttons öffnet ein weiteres Fenster, das Ihnen die Durchführung der Aktion gestattet. Klicken Sie auf den Hilfe-Button in jedem Fenster, um weitere Informationen über die Benutzung des jeweiligen Fensters zu erhalten.

Die folgenden Buttons unter Ihre Zertifikate erforden es nicht, das ein Zertifiktat selektiert ist:

Zertifkate auf Smart-Cards können nicht gesichert werden. Einerlei, ob Sie einige Ihrer Zertifikate selektieren und Backup wählen oder ob Sie Backup von allen wählen, die entstehende Sicherungsdatei wird keine Zertifikate enthalten, die auf Smart-Cards oder externen Sicherheitseinrichtungen gespeichert sind. Sie können nur Zertifikate sichern, die in der eingebauten Software-Sicherheitseinrichtung gespeichert sind.

Zu weiteren Einzelheiten zu jeder dieser Aufgaben, s. Ihre Zertifikate.

Zurück zum Beginn des Abschnitts ]

 

Verwaltung von Zertifikaten, die andere identifizieren

Wenn Sie eine Email erstellen, können Sie Ihre digitale Signatur anhängen. Eine digitale Signatur erlaubt es den Empfängern der Nachricht zu verifizieren, das die Nachricht wirklich von Ihnen kommt und nicht verändert wurde, seitdem sie von Ihnen versandt wurde.

Jedes Mal, wenn Sie eine digital signierte Nachricht versenden, wird Ihr Verschlüsselungszertifikat automatisch in die Nachricht eingefügt. Dieses Zertifikat erlaubt es den Nachrichten-Empfängern, Ihnen verschlüsselte Nachrichten zu senden.

Einer der einfachsten Wege, das Verschlüsselungszertifikat von jemand anders zu erhalten, ist es, wenn diese Person Ihnen eine digital signierte Nachricht sendet. Der Zertifikat-Manager speichert die Zertifikate anderer Leute, wenn sie auf diesem Weg empfangen werden.

Um alle Zertifikate zu sehen, die andere Personen identifizieren und die dem Zertifikat-Manager zur Verfügung stehen, klicken Sie auf Zertifikate anderer Personen im oberen Teil des Zertifikat-Manager-Fensters. Sie können jeder Person verschlüsselte Nachrichten senden, für die ein gültiges Zertifikat aufgeführt ist. Zertifikate sind unter den Namen der Organisationen aufgeführt, die diese Zertifikate ausgegeben haben.

Um Aktionen auf einem oder mehreren Zertifikaten auszuführen, wählen Sie den Eintrag für das Zertifikat (oder Strg-Klick um mehr als eins auzuwählen), dann klicken Sie auf den Ansicht- oder Löschen-Button. Jeder dieser Buttons öffnet ein weiteres Fenster, das Ihnen die Durchführung der Aktion erlaubt. Klicken Sie den Hilfe-Button in jedem dieser Fenster, um weitere Informationen über dieses Fenster zu erhalten.

Für weitere Einzelheiten siehe Zertifikate anderer Personen.

Zurück zum Beginn des Abschnitts ]

 

Verwaltung von Zertifikaten, die Webseiten identifizieren

Einige Webseiten benutzten Zertifikate, um sich selbst zu identifizieren. Solche Identifikation ist erforderlich, bevor die Webseite die zwischen der Seite und Ihrem Computer (oder umgekehrt) übertragene Informationen verschlüsseln kann, so dass niemand die Daten während der Übertragung lesen kann.

Wenn die URL einer Webseite mit https:// beginnt, verfügt die Webseite über ein Zertifikat. Wenn Sie solch eine Webseite aufsuchen und deren Zertifikat von einer CA ausgegeben wurde, die der Zertifikat-Manager nicht kennt oder der er nicht vertraut, werden Sie gefragt, ob Sie das Zertifikat der Webseite akzeptieren wollen. Wenn Sie ein neues Webseiten-Zertifikat akzeptieren, fügt der Zertifikat-Manager es zu seiner Liste von Webseiten-Zertifikaten hinzu.

Um alle Webseiten-Zertifikate zu sehen, die in Ihrem Browser verfügbar sind, klicken Sie auf das Tab Websites am oberen Rand des Zertifikat-Manager-Fensters.

Um eine Aktion mit einem oder mehreren Webseite-Zertifikaten durchzuführen, klicken Sie auf den Eintrag für das Zertifikat (oder Strg-Klick um mehr als eins auszuwählen), dann wählen Sie den Ansicht-, Bearbeiten- oder Löschen-Button. Jeder dieser Buttons öffnet ein weiteres Fenster, das Ihnen die Durchführung der entsprechenden Aktion ermöglicht.

Der Bearbeiten-Button erlaubt Ihnen die Angabe, ob Ihr Browser den selektierten Webseite-Zertifikaten in Zukunft vertraut.

Für weitere Einzelheiten s. Webseiten-Zertifikate.

Zurück zum Beginn des Abschnittes ]

 

Verwaltung von Zertifikaten, die Zertifizierungsstellen identifizieren

Wie andere allgemein genutzte Identifikations-Formen, wird ein Zertifikat von einer Organisation ausgestellt, die als dazu berechtigt anerkannt ist. Eine Organisation, die Zertifikate ausstellt, wird als Zertifizierungsstelle (certificate authority (CA)) bezeichnet. Ein Zertifikat, das eine Zertifikatsstelle identifiziert, wird als CA-Zertifikat bezeichnet.

Der Zertifikat-Manager hat normalerweise viele CA-Zertifikate gespeichert. Diese CA-Zertifikate erlauben es dem Zertifikat-Manager, Zertifkate zu erkennen und damit zu arbeiten, die von den entsprechenden CAs ausgestellt wurden. Die Anwesenheit eines CA-Zertifikates garantiert jedoch nicht, das den von der CA ausgegebenen Zertifikaten vertraut werden kann. Sie oder Ihr Systemadministrator müssen in Abhängigkeit von Ihren Sicherheitserfordernissen darüber entscheiden, welchen Arten von Zertifikaten Sie vertrauen.

Um alle in Ihrem Browser verfügbaren Ca-Zertifikate anzuzeigen, klicken Sie auf das Tab Authorities am oberen Rand des Zertifikat-Manager-Fensters.

Um eine Aktion mit einem oder mehreren Ca-Zertifikaten durchzuführen, wählen Sie den Eintrag für das Zertifikat (oder Strg-Klick um mehr als eins zu wählen), dann wählen Sie den Ansicht-, Bearbeiten- oder Löschen-Button. Jeder dieser Buttons öffnet ein weiteres Fenster, das Ihnen die Durchführung der Aktion ermöglicht. Klicken Sie auf den Hilfe-Button in jedem Fenster, um weitere Informationen über die Benutzung des Fensters zu erhalten.

Der Bearbeiten-Button erlaubt es Ihnen, die Vertrauens-Einstellungen für jedes Zertifikat anzusehen und zu ändern. Über die Vertrauens-Einstellungen für ein CA-Zertifikat können Sie angeben, welchen von dieser CA ausgestellten Zertifikat-Arten Sie vertrauen wollen.

Für weitere Einzelheiten siehe Authorities (Zertifizierungsstellen).

Zurück zum Beginn des Abschnitts ]

 


Verwaltung von Smart-Cards und anderen Sicherheitseinrichtungen

Eine Smart-Card ist ein kleines Gerät, ungefähr in der Größe einer Kreditkarte, das einen Mikroprozessor enthält und Informationen über Ihre Identität (wie Ihre privaten Schlüssel und Zertifikate) speichert und kryptografische Operationen durchführt.

Zur Benutzung einer Smart-Card benötigen Sie einen Smart-Card-Leser (ein Stück Hardware), der mit Ihrem Computer verbunden ist wie auch Softwarte auf Ihrem Computer, die den Leser steuert.

Eine Smart-Card ist einfach eine Sicherheitseinrichtung. Eine Sicherheitseinrichtung (manchmal als Token bezeichnet) ist eine Hardware- oder Software-Einrichtung, die kryptografische Dienste bereitstellt und Informationen über Ihre Identität speichert. Benutzen Sie den Geräte-Manager, um mit Smart-Cards und anderen Sicherheitseinrichtungen zu arbeiten.

In diesem Abschnitt:

Über Sicherheitseinrichtungen und Module

Benutzung von Sicherheitseinrichtungen

Benutzung von Sicherheitsmodulen

FIPS-Modus aktivieren

 

Über Sicherheitseinrichtungen und Module

Der Tab Sicherheitseinrichtungen verwalten öffnet ein Fenster, das die verfügbaren Sicherheitseinrichtungen anzeigt. Sie können diesen Tab verwenden, um beliebige Sicherheitseinrichtungen (einschließlich Smart-Cards) zu verwalten, die den Public Key Cryptography Standard (PKCS) #11 unterstützen.

Ein PKCS #11-Modul (manchmal als Sicherheitsmodul bezeichnet) steuert ein oder mehrere Sicherheitseinrichtungen genauso wie ein Software-Treiber ein externes Gerät wie einen Drucker oder ein Modem kontrolliert. Wenn sie eine Smart-Card installieren, müssen Sie sowohl das PKCS #11-Modul für die Smart-Card auf Ihrem Computer installieren als auch den Smart-Card-Leser verbinden.

Standardmäßig steuert dieser Tab zwei interne PKCS #11-Module, die drei Sicherheitseinrichtungen verwalten:

Zurück zum Beginn des Abschnittes ]

 

Benutzung von Sicherheitseinrichtungen

Das Tab Sicherheitseinrichtungen verwalten gestattet es Ihnen, Aktionen an den Sicherheitseinrichtungen durchzuführen. Um das Tab zu öffnen, befolgen Sie folgende Schritte.

  1. Öffnen Sie das Bearbeiten-Menü und wählen Sie Einstellungen.
  2. Unter Privatsphäre & Sicherheit klicken Sie auf Zertifikate. (Wenn keine Unterkategorien sichtbar sind, klicken Sie doppelt auf Privatsphäre & Sicherheit, um die Liste zu erweitern.)
  3. Im Abschnitt Zertifikate wählen Sie Sicherheitseinrichtungen verwalten.

Dieses Fenster zeigt jedes verfügbare PKCS #11-Modul in Fettschrift und die von jedem Modul verwalteteten Sicherheitseinrichtungen unter dem Namen des Moduls.

Wenn Sie eine Sicherheitseinrichtung selektieren, erscheinen Informationen darüber in der Mitte des Fensters, und einige der Schaltfläche rechts im Fenster werden aktiviert. Wenn Sie z. B. die Software-Sicherheitseinrichtung wählen, können Sie folgende Aktionen durchführen:

Sie können diese Aktion auf den meisten Sicherheitseinrichtungen anwenden, jedoch nicht auf dem Eingebauten Objekt-Token der Generischen Krypto-Dienste, da es sich um spezielle Sicherheitseinrichtungen handelt, die zu allen Zeiten verfügbar sein müssen.

Zu weiteren Einzelzeiten siehe Verwaltung von Sicherheitseinrichtungen.

Zurück zum Beginn des Abschnittes ]

 

Benutzung von Sicherheitsmodulen

Wenn Sie eine Smart-Card oder andere externe Sicherheitseinrichtung verwenden wollen, müssen Sie zuerst die Modul-Software auf Ihrem Computer installieren und, wenn nötig, die erforderliche Hardware verbinden. Befolgen Sie die Anweisungen, die mit der Hardware geliefert werden.

Nachdem ein neues Modul auf Ihrem Computer installiert ist, folgen Sie diesen Schritten, um es zu laden:

  1. Öffnen Sie das Bearbeiten-Menü und wählen Sie Einstellungen.
  2. Unter Privatsphäre & Sicherheit klicken Sie auf Zertifikate. (Wenn keine Unterkategorien sichtbar sind, klicken Sie doppelt auf Privatsphäre & Sicherheit, um die Liste zu erweitern.)
  3. Im Abschnitt Zertifikate wählen Sie Sicherheitseinrichtungen verwalten.
  4. Wählen Sie Laden.
  5. In der Dialog-Box PKCS #11-Einrichtung laden klicken Sie auf die Schaltfläche Durchsuchen, lokalisieren Sie die Modul-Datei und klicken Sie dann auf Öffnen.
  6. Geben Sie den Modulnamen in das Feld Modulname ein und wählen Sie OK.

Das neue Modul erscheint dann in der Liste der Module mit dem Namen, dem Sie ihm zugewiesen haben.

Um ein PKCS #11-Modul zu entladen, selektieren Sie dessen Namen und klicken Sie auf Entladen.

 

FIPS-Modus aktivieren

Federal Information Processing Standards Publications (FIPS PUBS) 140-1 ist ein Standard der US-amerikanischen Regierung über Implementationen von kryptografischen Modulen — das heißt Hard- oder Software, die Daten ver- und entschlüsselt oder andere kryptografische Operationen vornimmt (wie Erstellung oder Verifizierung digitaler Signaturen). Viele Produkte, die an die US-amerikanische Regierung verkauft werden, müssen einem oder mehreren FIPS-Standards entsprechen.

Um den FIPS-Modus für den Browser zu aktivieren, benutzen Sie den Geräte-Manager:

  1. Öffnen Sie das Bearbeiten-Menü und wählen Sie Einstellungen.
  2. Unter Privatsphäre & Sicherheit wählen Sie Zertifikate. (Wenn keine Unterkategorien sichtbar sind, klicken Sie doppelt auf Privatsphäre & Sicherheit, um die Liste zu erweitern.)
  3. Im Zertifikat-Panel wählen Sie Sicherheitseinrichtungen verwalten.
  4. Klicken Sie auf den Button FIPS aktivieren. Wenn FIPS aktiviert ist, ändert sich der Name NSS Internal PKCS #11 Module zu NSS Internal FIPS PKCS #11 Module und der Button FIPS aktivieren wechselt zu FIPS deaktivieren.

Um den FIPS-Modus zu deaktivieren, klicken Sie auf FIPS deaktivieren.

Zurück zum Beginn des Abschnittes ]

 


Verwaltung von SSL-Warnungen und -Einstellungen

Das Protokoll Secure Sockets Layer (SSL) erlaubt es Ihrem Computer, Informationen mit anderen Computern über das Internet in verschlüsselter Form auszutauschen— d. h. die Information ist während der Übertragung zerhackt, so dass niemand sonst damit etwas anfangen kann. SSL wird auch benutzt, um Computer im Internet durch Zertifikate zu identifizieren.

Das Protokoll Transport Layer Security (TLS) ist ein neuer, auf SSL basierender Standard. Standardmäßig unterstützt der Browser sowohl SSL wie auch TLS. Dieser Weg funktioniert für die meisten Personen, weil er sicherstellt, dass der Browser mit wirklich jeder anderen Software im Internet zusammenarbeitet, die irgendeine Version von SSL oder TLS unterstützt.

Es kann jedoch unter Umständen vorkommen, das Systemadministratoren oder andere fähige Personen die SSL-Einstellungen anpassen möchten für spezielle Sicherheitsbedürfnisse oder um Fehlern in älteren Software-Produkten Rechnung zu tragen.

Sie sollten die SSL-Einstellungen für Ihren Browser nicht ändern, wenn Sie nicht genau wissen, was Sie tun oder Sie Hilfe von jemandem haben, die Ahnung davon hat. Wenn Sie aus irgendwelchen Gründen Änderungen vornehmen müssen, folgen Sie diesen Schritten:

  1. Öffnen Sie das Bearbeiten-Menü und wählen Sie Einstellungen.
  2. Unter Privatsphäre & Sicherheit klicken Sie auf SSL. (Wenn keine Unterkategorien sichtbar sind, klicken Sie doppelt auf Privatsphäre & Sicherheit, um die Liste zu erweitern.)

Zu weiteren Einstellungen siehe SSL-Einstellungen.

Zurück zum Beginn des Abschnittes ]

 


Steuerung der Validierung

Wie oben unter Erhalt Ihres eigenen Zertifikates diskutiert, ist ein Zertifikat wie ein Führerschein eine Form der Identifikation, die Sie benutzen können, um sich selbst über das Internet und andere Netzwerke zu identifizieren. Aber ähnlich wie ein Führerschein kann ein Zertifikat ablaufen oder aus anderen Gründen ungültig werden. Daher muss Ihre Browser-Software die Gültigkeit eines Zertifikates bestätigen können, bevor es ihm für Identifikationszwecke vertraut.

Dieser Abschnitt beschreibt, wie der Zertifikat-Manager Zertifikate validiert und wie dieser Prozeß gesteuert wird. Um den Prozeß zu verstehen, sollten Sie mit Public-Key-Kryptografie vertraut sein. Wenn Sie nicht mit der Benutzung von Zertifikaten vertraut sind, sollten Sie mit Ihrem Systemadministrator sprechen, bevor Sie versuchen, die Validierungs-Einstellungen Ihres Browsers zu ändern.

In diesem Abschnitt:

Wie Validierung funktioniert

CRLs verwalten

OCSP konfigurieren

Validierungs-Einstellungen

 

Wie Validierung funktionert

Wann immer Sie ein vom Zertifikat-Manager gespeichertes Zertifikat ansehen oder benutzen, unternimmt er verschiedene Schritte zur Validierung des Zertifikats. Zumindest bestätigt er, dass die digitale Signatur auf dem Zertifikat von einer CA erstellt wurde, deren eigenes Zertifikat (1) in der Liste des Zertifikats-Managers über verfügbare CA-Zertifikate enthalten ist und (2) als vertrauenswürdig markiert ist für die Ausstellung von Zertifikaten der Art, die verifiziert wird.

Wenn das CA-Zertifikat selbst nicht gespeichert ist, muss die Zertifikats-Kette für das CA-Zertifikat ein höheres CA-Zertifikat enthalten, das verfügbar ist und dem korrekt vertraut wird. Der Zertifikat-Manager stellt auch sicher, dass das verifizierte Zertifikat im Zertifikats-Speicher derzeit als vertrauenswürdig markiert ist. Wenn eine dieser Prüfungen versagt, markiert der Zertifikat-Manager das Zertifikat als unverifiziert und wird die dadurch zertifizierte Identität nicht anerkennen.

Ein Zertifikat kann alle diese Tests bestehen und trotzdem noch komprimittiert sein: Z. B. kann ein Zertifikat zurückgenommen worden sein, weil eine nicht berechtigte Person Zugriff auf den privaten Schlüssel des Zertifikats hat. Ein komprimittiertes Zertifikat kann einer unberechtigten Person (oder Webseite) erlauben, sich als der Zertifikat-Eigentümer auszugeben.

Eine Möglichkeit, dieser Bedrohung zu begegnen, ist es, das der Zertifikat-Manager als Teil des Verifizierungs-Prozesses eine Zertifikats-Rückruf-Liste (certificate revocation list (CRL)) überprüft (see CRLs verwalten, unten). Normalerweise speichern Sie eine CRL in Ihrem Browser durch Anwahl eines Links. Wenn eine CRL vorhanden ist, überprüft Zertifikat-Manager jedes Zertifikat, das von der gleichen CA ausgestellt wurde, als Teil des Validierungsprozesses.

Die Verläßlichkeit von CRLs hängt von der Frequenz ab, mit der sie von einem Server aktualisiert und vom Client überprüft werden. Sie können Ihre Automatischen CRL-Aktualisierungs-Einstellungen konfigurieren, so dass eine CRL regelmässig automatisch mit der aktuellen Version des Servers aktualisiert wird.

Eine andere Möglichkeit, um der Gefahr komprimittierter Zertifikate zu begegnen, ist es, einen speziellen Server zu nutzen, der das Online Certificate Status Protocol (OCSP) unterstützt. Solch ein Server kann Client-Anfragen über individuelle Zertifikate beantworten (siehe OCSP konfigurieren, unten).

Der Server, als OCSP-Responder bezeichnet, erhält periodisch eine aktualiserte CRL von der CA, die die zu verifizierenden Zertifikate ausgegeben hat. Sie können den Zertifikat-Manager so konfigurieren, das er eine Statusanfrage für ein Zertifikat an den OCSP-Responder sendet, und der OCSP-Responder bestätigt, ob das Zertifikat gültig ist.

 

CRLs verwalten

Eine Zertifikat-Rückruf-Liste (certificate revocation list (CRL)) ist eine Liste zürückgenommener Zertifikate. Eine Zertifizierungsstelle (certificate authority (CA)) kann z. B. ein Zertifikat zurücknehmen, wenn es irgendwie komprimittiert wurde — so ähnlich, wie eine Kreditkartengesellschaft Ihre Kreditkarte zurückrufen kann, wenn diese gestohlen wurde.

Dieser Abschnitt beschreibt, wie Sie CRLs importieren und verwalten. Zu Hintergrund-Informationen s. Wie Validierung funktioniert.

Wegen detaillierter Beschreibungen der CRL-Einstellungen, die Sie anpassen können, siehe Validierungs-Einstellungen.

In diesem Abschnitt:

Über das "Nächste Update"-Datum

CRLs importieren

CRLs anzeigen und verwalten

 

Über das "Nächste Update"-Datum

Der Browser benutzt die ihm zur Verfügung stehenden CRLs, um die Gültigkeit von Zertifikaten zu prüfen, die von den entsprechenden CAs ausgestellt wurden. Wenn ein Zertifikat als zurückgenommen aufgeführt wird, akzeptiert der Browser dieses nicht mehr als Identitäts-Beweis.

Eine Zertifizierungsstelle veröffentlicht eine aktualisierte CRL in regelmäßigen Intervallen. Jede CRL enthält ein im Feld Nächstes Update angegebenes Datum, zu dem die Zertifizierungsstelle die nächste Aktualisierung der CRL veröffenlicht. Allgemein gesagt, wenn das Datum im Feld Nächstes Update vor dem aktuellen Datum liegt, sollten Sie die aktuellste Version der CRL abrufen. Um CRL-Informationen anzuzeigen und das automatisierte CRL-Aktualisieren einzustellen, siehe CRLs anzeigen und verwalten.

Zertifizierungsstelle sind verpflichtet, zum Datum Nächstes Update eine neue CRL zu produzieren. Die Abwesenheit der aktuellsten CRL bedeutet jedoch nicht, dass ein Zertifikat ungültig ist. Aus diesem Grund - falls die aktuellste CRL nicht verfügbar ist - kann ein Zertifikat gültig sein, obwohl die letzte CRL es als abgelaufen anzeigt. Automatisierte CRL-Aktualisierung kann helfen, diese Situation zu vermeiden.

 

CRLs importieren

Sie können die aktuellste CRL einer Zertifizierungsstelle in Ihren Browser importieren. Zum Import einer CRL folgen Sie diesen Schritten:

  1. Gehen Sie zur URL, die von der Zertifizierungsstelle oder Ihrem Systemadministrator angegeben wurde und klicken Sie auf den Link der CRL, die Sie importieren möchten.

    Die Dialogbox Import-Status erscheint.

  2. Bestätigen Sie, das die CRL erfolgreich importiert wurde und das es sich um diejenige handelt, die Sie importieren wollten. In den meisten Fällen sollten Sie auch Ja anklicken, wodurch die automatische Aktualisierung der gerade importierten CRL aktiviert wird.
  3. Der nächste Schritt hängt davon ab, ob Sie Ja oder Nein in der Dialogbox Import-Status angeklickt haben:
  4. Wählen Sie die Option "Automatische Aktualisierungen für diese CRL aktivieren".
  5. Entscheiden Sie sich, wie Sie die automatisierten Aktualisierungen planen:
  6. Klicken Sie OK um Ihre Einstellungen zu bestätigen.

 

CRLs anzeigen und verwalten

Sie können die dem Browser verfügbaren CRLs über die Validierungseinstellungen des Browsers anzeigen und verwalten:

  1. Öffnen Sie das Bearbeiten-Menü und wählen Sie Einstellungen.
  2. Unter Privatsphäre & Sicherheit wählen Sie Validierung. (Wenn keine Unterkategorien sichtbar sind, klicken Sie doppelt auf Privatsphäre & Sicherheit, um die Liste zu erweitern.)
  3. Klicken Sie auf CRLs verwalten im Validierungs-Panel, um eine Liste der CRLs zu sehen, die dem Zertifikat-Manager zur Verfügung stehen.

Um eine CRL zu löschen oder zu aktualisieren, selektieren Sie diese und wählen die entsprechende Schaltfläche.

Um automatische Aktualisierungen für eine CRL einzustellen, selektieren Sie die CRL und wählen Einstellungen. Die Dialogbox Automatische CRL-Akualisierungs-Einstellungen erscheint:

  1. Wählen Sie die Option "Automatische Aktualisierungen für diese CRL aktivieren".
  2. Entscheiden Sie sich, wie Sie die automatisierten Aktualisierungen planen:
  3. Klicken Sie OK um Ihre Einstellungen zu bestätigen.

 

OCSP konfigurieren

Die Einstellungen, die OCSP steuern, sind Teil der Validierungs-Einstellungen. Um die Validierungseinstellungen anzuzeigen, folgen Sie diesen Schritten

  1. Öffnen Sie das Bearbeiten-Menü und wählen Sie Einstellungen.
  2. Unter Privatsphäre & Sicherheit wählen Sie Validierung. (Wenn keine Unterkategorien sichtbar sind, klicken Sie doppelt auf Privatsphäre & Sicherheit, um die Liste zu erweitern.)

Zu Informationen über die verfügbaren OCSP-Optionen siehe OCSP.

Zurück zum Beginn des Abschnttes ]


18 June 2002

Copyright © 1994-2002 Netscape Communications Corporation.