1. Was sind SSL-Zertifikate?
  2. Weaknesses of the system
  3. Why get a commercial certificate then?

Am selben Tag, an dem Tails 0.10 veröffentlicht wurde, begann unsere Website, ein kommerzielles SSL-Zertifikat zu verwenden. Dieses neue Zertifikat ersetzt das vorherige Zertifikat, das von der nichtkommerziellen [CACert-Zertifizierungsstelle] (http://www.cacert.org/) bereitgestellt wurde.

Was sind SSL-Zertifikate?

Using HTTPS instead of plain HTTP to connect to a website allows you to encrypt your communication with the server. But encryption alone does not guarantee that you are talking with the right server, and not someone impersonating it, for example in case of a man-in-the-middle attack.

SSL-Zertifikate versuchen, dieses Problem zu lösen. Ein SSL-Zertifikat wird normalerweise von einer Zertifizierungsstelle ausgestellt, um die Identität eines Servers zu zertifizieren. Wenn Sie eine Website erreichen, vertraut Ihr Webbrowser möglicherweise automatisch einem SSL-Zertifikat, wenn er der Behörde vertraut, die es ausgestellt hat.

Kommerzielle Zertifizierungsstellen leben vom Verkauf von SSL-Zertifikaten. Die meisten Browser vertrauen ihnen normalerweise automatisch. Andere nichtkommerzielle Zertifizierungsstellen wie CACert müssen vom Betriebssystem oder vom Benutzer installiert werden, um zu vermeiden, dass beim Besuch der Website eine Sicherheitswarnung angezeigt wird.

Weaknesses of the system

But this trust system has proven to be flawed in many ways. For example, during 2011, two certificate authorities were compromised, and many fake certificates were issued and used in the wild. See Comodo: The Recent RA Compromise and The Tor Project: The DigiNotar Debacle, and what you should do about it.

It is clear for us that getting an commercial SSL certificate is not enough to strongly authenticate our website, and for example authenticity of our releases. That's why we always propose you stronger ways of authenticating our Tails release using OpenPGP signatures.

Why get a commercial certificate then?

Trotzdem haben wir uns aus folgenden Gründen für ein kommerzielles Zertifikat entschieden:

  • It makes it harder to setup a simplistic man-in-the-middle attacks against the people who didn't use HTTPS so far to visit our website.
  • Unsere Website ist jetzt nur mit aktiviertem HTTPS verfügbar. Dies kann wichtig sein, um z.B. beim Posten im Forum Vertraulichkeit zu gewährleisten.