Am selben Tag, an dem Tails 0.10 veröffentlicht wurde, begann unsere Website, ein kommerzielles SSL-Zertifikat zu verwenden. Dieses neue Zertifikat ersetzt das vorherige Zertifikat, das von der nichtkommerziellen [CACert-Zertifizierungsstelle] (http://www.cacert.org/) bereitgestellt wurde.

What are SSL certificates?

Wenn Sie HTTPS anstelle von einfachem HTTP verwenden, um eine Verbindung zu einer Website herzustellen, können Sie Ihre Kommunikation mit dem Server verschlüsseln. Die Verschlüsselung allein garantiert jedoch nicht, dass Sie mit dem richtigen Server kommunizieren und nicht mit jemandem, der sich als solcher ausgibt, z. B. im Falle eines man-in-the-middle attack.

SSL-Zertifikate versuchen, dieses Problem zu lösen. Ein SSL-Zertifikat wird normalerweise von einer Zertifizierungsstelle ausgestellt, um die Identität eines Servers zu zertifizieren. Wenn Sie eine Website erreichen, vertraut Ihr Webbrowser möglicherweise automatisch einem SSL-Zertifikat, wenn er der Behörde vertraut, die es ausgestellt hat.

Kommerzielle Zertifizierungsstellen leben vom Verkauf von SSL-Zertifikaten. Die meisten Browser vertrauen ihnen normalerweise automatisch. Andere nichtkommerzielle Zertifizierungsstellen wie CACert müssen vom Betriebssystem oder vom Benutzer installiert werden, um zu vermeiden, dass beim Besuch der Website eine Sicherheitswarnung angezeigt wird.

Weaknesses of the system

Dieses Vertrauenssystem hat sich jedoch in vielerlei Hinsicht als fehlerhaft erwiesen. Zum Beispiel wurden im Jahr 2011 zwei Zertifizierungsstellen kompromittiert und viele gefälschte Zertifikate wurden ausgestellt und in freier Wildbahn verwendet. Siehe Comodo: Der jüngste RA-Kompromiss und The Tor Project: Das DigiNotar Debakel, und was Sie sollte dagegen tun.

Für uns ist klar, dass ein kommerzielles SSL-Zertifikat nicht ausreicht, um die Authentizität unserer Website und beispielsweise unserer Releases stark zu authentifizieren. Aus diesem Grund schlagen wir immer vor, stärkere Möglichkeiten zur Authentifizierung unserer Tails-Version mithilfe von OpenPGP-Signaturen zu nutzen.

Why get a commercial certificate then?

Trotzdem haben wir uns aus folgenden Gründen für ein kommerzielles Zertifikat entschieden:

  • Es macht es schwieriger, vereinfachende Man-in-the-Middle-Angriffe gegen die Leute durchzuführen, die HTTPS bisher nicht für den Besuch unserer Website verwendet haben.
  • Unsere Website ist jetzt nur mit aktiviertem HTTPS verfügbar. Dies kann wichtig sein, um z.B. beim Posten im Forum Vertraulichkeit zu gewährleisten.