Es sieht so aus, als ob die Allgemeinheit immer mehr Notiz von SSL nimmt. Sie erwartet, dass Websites es verwenden (und weisen schnell darauf hin, wenn sie es nicht tun). Ich bin begeistert, dass die Leute erkennen, wenn eine Website SSL verwendet, und ich bin begierig, dieses Wissen noch weiter zu vertiefen. Es gibt noch einiges mehr in den Details eines SSL-Zertifikats, das über das Auslösen des Vorhängeschlosses und HTTPS in Browsern hinausgeht.
Was können Sie aus dem Vertiefen in die Zertifikatdetails erfahren?
Es stecken viele Informationen in einem Zertifikat, z. B. grundlegende Dinge wie:
- Gültigkeitsdauer
- Ausstellende Zertifizierungsstelle (CA)
- Antragsteller (die Domain, für die das Zertifikat ausgestellt wurde, und je nach Art des Zertifikats, Identifizierungsdaten über das Unternehmen, das die Website betreibt)
Der Zertifikatinhalt umfasst auch technische Aspekte wie:
- Schlüsselverwendung,
- CRL-Informationen,
- Signier- und Hash-Algorithmen, die der Verschlüsselung zugrunde liegen
Diese Informationen finden Sie direkt in Ihrem Browser! Es ist klar, dass die Bedeutung dieser Dinge von Person zu Person variiert, und ich erwarte nicht, dass jeder anfängt, sich in das Zertifikat jeder Website zu vertiefen, die er besucht. Aber ich möchte das Bewusstsein dafür schärfen, dass diese Art von Informationen existiert und wie man sie findet. Fangen wir also an.
So zeigen Sie SSL-Zertifikatdetails an
Da Browser ziemlich regelmäßig aktualisiert werden und die SSL-Darstellung momentan ziemlich viele Änderungen erfährt, werde ich die folgenden Abschnitte aktualisieren, sobald neue Versionen veröffentlicht werden.
Chrome (V. 62)
Vor Chrome 55 (veröffentlicht im Dezember 2016) gab es einen Direktlink, um die Zertifikatdetails direkt über die Hauptbenutzeroberfläche des Browsers anzuzeigen. Durch Klicken auf das Vorhängeschloss in der URL wurde eine Dropdown-Liste mit einem Link angezeigt, der Sie direkt zum Popup-Fenster mit den Zertifikatdetails führte. Gerüchte besagen, dass diese Funktion möglicherweise zurückkehren wird. Aber bis dahin erfahren Sie hier, wie Sie in Chrome alles Wissenswerte über das Zertifikat einer Website erfahren.
1. Klicken Sie auf die drei vertikalen Punkte rechts neben der Adressleiste. Wechseln Sie zu "Weitere Tools" und wählen Sie "Entwicklertools" aus. Hinweis: Sie gelangen auch hierhin, wenn Sie F12 drücken.
2. Dadurch wird das Fenster mit den Entwicklertools aufgerufen. Wählen Sie die Registerkarte "Sicherheit" aus. Hier sehen Sie eine gute Sicherheitsübersicht, wie z. B. Gültigkeitsstatus des Zertifikats, einige Details des Protokolls, der Verschlüsselung und des Schlüsselaustauschs, die der Verbindung zugrunde liegen, und ob die Ressourcen auf der Seite sicher bereitgestellt werden.
Registerkarte Sicherheit für EV-Zertifikat in Chrome
3. Um die Zertifikatdetails anzuzeigen, klicken Sie auf die Schaltfläche "Zertifikat anzeigen" (wow, ich weiß…). Jetzt können Sie sich nach Herzenslust losklicken. Zertifikatinhalte (z.B. Antragsteller, Gültigkeitszeitraum, Algorithmen) finden sich auf der Registerkarte "Details".
Zertifikatdetails in Chrome.
Firefox (V. 57)
Die neueste Version von Firefox bietet direkt in der Haupt-Browser-Oberfläche mehr Informationen über das Zertifikat, mit der Möglichkeit, sich mit nur wenigen Klicks in weitere Details zu vertiefen.
1. Wenn Sie auf das Vorhängeschloss in der Adressleiste klicken, wird eine einleitende Dropdown-Liste angezeigt, die eine sichere Verbindung anzeigt, wenn ein ordnungsgemäß konfiguriertes SSL vorhanden ist.
EV-Zertifikat in Firefox
2. Wenn Sie auf den Pfeil in dieser Dropdown-Liste klicken, werden weitere Informationen zum Zertifikat angezeigt. Im Fall von Extended Validation (EV) -Zertifikaten können Sie einige identifizierende Informationen über das Unternehmen anzeigen, die die Website betreibt. Bei Nicht-EV-Zertifikaten (Domain Validated and Organization Validated) sehen Sie nur, welche Zertifizierungsstelle (CA) das Zertifikat ausgestellt hat - der Abschnitt "Verifiziert von:" unten im Popup.
EV-Zertifikat in Firefox
Nicht-EV (OV) -Zertifikat in Firefox
3. Wenn Sie unten im Popup auf "Weitere Informationen" klicken, werden Sie zu den Sicherheitsdetails der Seite weitergeleitet. Hier finden Sie weitere Informationen zur Website-Identität (für EV-Zertifikate wird der Firmenname als Inhaber angegeben) und die Protokolle, Chiffren und Schlüssel, die der Verschlüsselung zugrunde liegen.
Seiteninformationen einer Website mit EV in Firefox
4. Wenn Sie noch mehr Details zum Zertifikat benötigen (und wer tut das nicht?), klicken Sie einfach auf "Zertifikat anzeigen". Auf der Registerkarte "Details" finden Sie die Zertifikathierarchie und können die Zertifikatfelder durchsuchen. Viel Spaß!
Zertifikatdetails in Firefox
Internet Explorer (V.11)
Wie Firefox stellt der IE einige Zertifikatinformationen auf der Hauptoberfläche zur Verfügung.
1. Wenn Sie auf das Vorhängeschloss klicken, wird die ausstellende Zertifizierungsstelle angezeigt ("GlobalSign hat diese Site identifiziert als:") und ein Hinweis, dass die Verbindung zum Server verschlüsselt ist. Es gibt auch einige identifizierende Informationen, aber auch diese unterscheiden sich zwischen EV und Nicht-EV (DV oder OV) Zertifikaten. EV-Zertifikate enthalten den Firmennamen und den Standort, während DV und OV nur die Domain anzeigen.
EV-Zertifikat in IE
Nicht-EV (OV) -Zertifikat in IE
2. Wenn Sie auf den Link "Zertifikate anzeigen" unten im Popup klicken, gelangen Sie direkt zum Fenster mit den Zertifikatdetails. Ähnlich wie in Chrome finden sich Zertifikatinhalte (z.B. Antragsteller, Gültigkeitszeitraum, Algorithmen) auf der Registerkarte "Details".
Fenster mit Zertifikatdetails in IE
Das war's schon: Jetzt können Sie sich in Zertifikate vertiefen, egal welchen Browser Sie verwenden. Viel Spaß beim ansehen und sicheres Surfen!
Hinweis: Momentan habe ich keinen Zugriff auf Edge oder Safari, aber ich werde diesen Post erweitern, falls und sobald ich sie in die Finger bekomme. Wie ich oben schon sagte, werde ich auch versuchen, diesen Post mit den neuesten Browserversionen auf dem neuesten Stand zu halten. Aber wenn Sie sehen, dass ich in Verzug geraten bin, können Sie mir in den Kommentaren einen freundlichen Anstoß geben.