Sinnvoller Einsatz von Open SSL: wo und wie?
SSL Zertifikate (Secure Sockets Layer) gehören zur Grundausstattung jedes Unternehmens für den Schutz seiner Systeme. Das Protokoll mit integrierter Datenverschlüsselung ist die Standardlösung für die sichere Kommunikation über das Internet.
Bei Ihren Recherchen zu verschiedenen Sicherheitslösungen sind Sie vielleicht auch schon auf Open SSL (Open Secure Sockets Layer) gestoßen, die bekannteste Open-Source-Bibliothek für die sichere Kommunikation. Möglicherweise wird es sogar in Ihrem Unternehmen eingesetzt, aber bei den meisten von uns ist das Wissen über Open SSL damit erschöpft. Vor Kurzem bemerkte Steve Marquess von der OpenSSL Software Foundation mir gegenüber: „Es ist sehr schwer, einem Laien [diese] Verschlüsselung in wenigen Worten zu erklären.“ Jeder, der sich eingehender mit der Funktionsweise von Open SSL beschäftigt, kommt schnell zur gleichen Erkenntnis. Zum Glück muss man ein Tool nicht in allen Einzelheiten verstehen, um es sinnvoll anzuwenden. Einige Hinweise dazu, wann und wo das Tool einzusetzen ist, können jedoch sehr nützlich sein.
Was genau ist Open SSL? Im Grunde ist Open SSL eine Open-Source-Implementierung der Protokolle SSL und TLS (Transport Layer Security). Es ist als kostenloses Dienstprogramm in den meisten Versionen der Betriebssysteme MacOS X, Linux, BSD und Unix enthalten und kann als Binärkopie für die Nutzung auf Windows-Systemen heruntergeladen werden.
Wann und wo sollten Sie Open SSL einsetzen? Mit Open SSL können Sie Ihre eigene, private Zertifizierungsstelle einrichten. Die in der Programmiersprache C geschriebene Kernbibliothek implementiert die grundlegenden kryptografischen Funktionen sowie diverse Hilfsfunktionen. Open SSL kann Dateien ver- und entschlüsseln, Nachrichten-Hashes, digitale Zertifikate und Signaturen erstellen und Zufallszahlen generieren. Ein integriertes Befehlszeilentool bietet dieselben Funktionen wie die API (Application Programming Interface) und zusätzliche Befehle zum Testen von SSL-Servern und -Clients.
Where the use of open source is lacking is around full-on market credibility, and the perception of trust for the end user. Does OpenSSL carry the same weight of a certificate that has been issued by a trusted CA (certificate authority)? The answer is not in commercial or financial applications. It is true that you can create and run your own self-signed certificates on a network, and for internal applications this use can make good financial sense. However, if you are looking to create instant external customer confidence and assurance of security with your clients or end users, you need authentication and a web of trust.
Zu den Nachteilen von Open-Source-Software gehören die mangelnde Glaubwürdigkeit am Markt und die oft negative Wahrnehmung durch die Benutzer. Vermittelt ein selbst-signiertes Zertifikat ebenso viel Vertrauen wie ein Zertifikat einer renommierten Zertifizierungsstelle? In kommerziellen und Finanzanwendungen sicher nicht. Die Selbst-signierter Zertifikate sind für interne Anwendungen sinnvoll, extern, zum umgehenden Aufbau von Kundenvertrauen und zum Nachweis der Sicherheit Ihrer Systeme gegenüber Kunden und Benutzern ist jedoch eine zusätzliche Vertrauensschicht erforderlich.
Online-Vertrauen und -Sicherheit sind das Kerngeschäft von Symantec. Mit Website-Sicherheitslösungen von Symantec erhalten Sie nicht nur branchenführende SSL-Zertifikate (wahlweise mit Extended Validation), sondern auch Tools zur Zertifikatsverwaltung, Schwachstellenanalyse und Überprüfung Ihrer Website auf Malware. Doch damit nicht genug. Der Einsatz dieser Lösungen verbessert Ihre Sicherheit, während das Norton Secured-Siegel und Seal-in-Search von Symantec Ihren Kunden signalisieren, dass sie bei Ihnen von der Suche über die Navigation bis hin zum Kauf geschützt sind.
Ein altbewährter Grundsatz solider Geschäftspraxis rät, nur mit absolut vertrauenswürdigen Menschen zusammenzuarbeiten. Das Gleiche gilt für die Online-Sicherheit, denn dort steht mindestens ebenso viel auf dem Spiel.
Weitere Informationen finden Sie in unserem kostenlosen Whitepaper „Die versteckten Kosten selbstsignierter SSL-Zertifikate“.