To main content
Featured image of StartSSL: Web of Trust mit Mehrwert

StartSSL: Web of Trust mit Mehrwert

Veröffentlicht von Benjamin Marwell am

Web of Trust Notary SealDas StartSSL Web of Trust (WoT) bietet einen echten Mehrwert für alle diejenigen, die Interesse an einem Webserver- oder Mailzertifikat haben. Das Prinzip ist recht einfach: Gegenseitige Validierung der Identität bringt allen Parteien einen Mehrwert: Den Namen im Zertifikat.  Warum das gut ist, und was das StartSSL-Web-of-Trust noch bringt, beschreibt dieser Artikel.

Zertifikatsausstellernamen

WHOIS: Dein Name im Netz

Der erste Grund ist zugleich der wichtigste: Der Namen im Zertifikat. Üblicherweise versucht man, nicht unnötig viele Daten - wie seinen Namen - preiszugeben. Bei Domains ist das zwangsweise etwas anders. Zum einen lässt sich durch eine sogenannte Whois-Abfrage schnell herausfinden, wer der Eigentümer der Domain ist. Das wird rechtlich so gefordert, auch wenn die Denic (die Deutsche Domain-Verwaltungsstelle) die Daten natürlich nicht direkt ins Netz stellt, sondern hinter einem Captcha schützt. Dennoch lässt diese Abfrage Rückschlüsse auf den Eigentümer und das Vertrauen in die Seite zu.

Einsatz von Zertifikaten

Zum zweiten sind viele Seiten heutzutage SSL-Verschlüsselt. Die Verschlüsselung ist aber nur ein Teil der Medallie. Man stelle sich einen Webshop vor, der zwar die Kreditkartendaten verschlüsselt entgegennimmt -- aber kann man sich auch sicher sein, dass die Daten an den richtigen Empfänger gehen? Dafür stellen die meisten Zertifizierungsstellen Hürden auf: Nicht jede beliebige Person darf für jede beliebige Domain ein Zertifikat beantragen. Person und Domaineignerschaft müssen zunächst überprüft werden. Das spiegelt sich zum Teil auch im Besitz des Zertifikats wieder: Ist das Zertifikat von einer bekannten Certificate Authority (CA) ausgestellt, so geht man auch davon aus, dass diese die Person und dessen Domaineignerschaft geprüft hat.

StartSSL: Name in Class 2 Cert
StartSSL: Name in Class 2 Cert

Es gibt aber noch einen einfachen, zweiten Weg, dieses Vertrauen zu bekräftigen. So ist im Zertifikat ein Name vorgesehen. Üblicherweise handelt es sich zwar um einen Unternehmensnamen, das Feld ist aber nicht auf einen solchen beschränkt. Der Name im Zertifikat bekräftigt nochmal die Prüfung seitens der Certificate Authority, wie StartCom etwa eine unter dem Namen StartSSL betreibt.

Besonders im Mailverkehr macht sich das bemerkbar: Während CACert noch keine Zertifikate ohne Verifizierung ausstellt, erhält man bei StartSSL ein Zertifikat auf den Namen StartCom Free Certificate Member. Ob eine E-Mail mit diesem Absender besonders vertrauenswürdig ist? Eher weniger.

Mumble: Grüne Einträge für starke Zertifikate
Mumble: Grüne Einträge für starke Zertifikate

Ein weiteres Einsatzfeld ist die Voice-Over-IP-Software Mumble: Mit einem Class 2-Zertifikat und dem Namen im Zertifikat weist Mumble den Server in der Serverliste als durch ein starkes Zertifikat geschützt aus. Der Server wird grün hinterlegt. Ähnlich verfahren andere Dienste, wie etwa grüne Schlösser im Browser.

Web of Trust-Mitgliedschaft

Während die Class 2-Verifizierung bei StartSSL einmalig pro Jahr $ 59.90 kostet, beinhaltet diese Gebühr zwei Vorteile. Zum einen kann man Class 2-Zertifikate ausstellen, die den Namen beinhalten und noch etwas vertrauenswürdiger im Browser dargestellt werden. Zum anderen ist man ab diesem Zeitpunkt auch potentieller Notar, der andere Mitglieder validieren und verifizieren kann.
von https://commons.wikimedia.org/wiki/User:Ogmios [<a href="http://creativecommons.org/licenses/by-sa/3.0">CC BY-SA 3.0</a>], <a href="http://commons.wikimedia.org/wiki/File%3AWeb_of_Trust_2.svg">via Wikimedia Commons</a>
von https://commons.wikimedia.org/wiki/User:Ogmios [CC BY-SA 3.0], via Wikimedia Commons
Dieses Web of Trust ist in etwa mit dem von CACert und GnuPG/PGP vergleichbar; man ist freiwilliges Mitglied. Je mehr mitmachen, desto stärker wird dieses Netz. Je mehr verifizierungen man sammelt und gibt, desto mehr Sicherheit geht von einem aus.

Verifiziertes Mitglied

Eine Verifizierung beinhaltet, vereinfacht gesagt, die Überprüfung des Namens und der Meldeadresse des Mitglieds an Hand von zwei amtlichen Lichtbilddokumenten. Geeignet sind etwa Führerschein, Personalausweis, Reisepass und die neue Krankenkassenkarte. Ungeeignet sind hingegen Dienstausweise, Kredit- und Debitkarten, sowie andere, nicht-staatliche Dokumente und solche ohne Lichtbild.

Wurde von dem zu verifizierenden Mitglied der Name und die Adresse seitens des Notars bestätigt, erhält diese Person eine Verifizierung.

Ab einer erhaltenen Verifizierung bleibt man dauerhaft Notar, sollte man jemals Notar gewesen sein.

Mit diesem Notar-Status, wenn man also einmal Notar war, kann man sein Leben lang weiterhin andere Mitglieder verifizieren. Die aktuelle Anzahl seiner Verifizierungen kann man in seiner Identity Card einsehen.

StartSSL: erhaltene Validierungen in der Identity Card
StartSSL erhaltene Validierungen

Interessant wird die zweite Verifizierung: Hat man diese erhalten, so erhält man sein Leben lang seinen Namen auch in Class 1-Zertifikate von StartSSL geschrieben. Das ist praktisch, da so Besucher auch an Hand des Namens prüfen, ob die richtige Seite besucht wird. Ansonsten müssten sie blind dem Herausgeber, StartCom, vertrauen.

StartSSL-Notar werden

Nun funktoniert das ganze System nur, wenn auch einige Mitglieder bereit sind, als Notar mitzumachen. Leider kostet das mindestens einmalig etwas Geld, nämlich $ 59.90 (Stand: Januar 2015). Der Aufwand und die Kosten lohnen sich aber, sofern man auch wenigstens eine Website betreibt, die ein paar hundert Besucher hat, oder diese Daten enthält, die verschlüsselt übertragen werden müssen.

Schitt 1: Class 2-Validierung beantragen

StartSSL: Personal Validation
StartSSL: Personal Validation

Im nächsten Schritt wird noch einmal aufgeführt, welche Dokumente man braucht: Die Vorder- und Rückseite des Personalausweises oder die ersten Seiten des Reisepass, sowie ein Führerschein. Insgesamt genügen zwei Dokumente, so dass eine Auswahl aus zwei Dokumenten der folgenden gestattet ist:

  • Personalausweis (Vorder- und Rückseite)
  • Reisepass (die ersten Seiten)
  • Führerschein (Vorder- und Rückseite)
  • Krankenkassenkarte (Vorder- und Rückseite)

Die Daten werden entgegen dem Deutschen Datenschutz- und Personalausweisgesetz über mindestens sieben Jahre gespeichert, da die in Deutschland geltenden Gesetze seitens StartSSL nicht beachtet werden. So darf man zwar seinen Personalausweis sowieso nicht kopieren/einscannen, aber eine Strafe gibt es darauf auch nicht.

Danach erfolgt die Bezahlung per Kreditkarte. Eddy Nigg oder einer seiner Mitarbeiter fragt nun nach z.B. einer Telefonrechnung und ruft an und gibt den Verifizierungscode durch. Ist das nicht möglich - etwa durch falsch verstandenen Datenschutz - gibt es einen Brief aus Israel. Nach Eingabe des Verifizierungscodes ist man Class 2-Validiert und stolzer Besitzer eines Briefes aus Israel - wer kann das schon behaupten? ;-)

Schritt 2: Notar-Status erhalten

Ist man nun von StartSSL validiert, so muss man noch den Notary-Test bestehen. In diesem werden Fragen aus der WoT Policy gestellt. Zu beachten ist, dass die Fragen derzeit nur in englischer Sprache vorliegen. Ohne gute Englische Sprachkenntnisse kommt man hier also nicht weiter.

Im Endeffekt muss man wissen, dass…

  1. … man für die Ausführung des StartSSL-Notars ein Mindestalter haben muss.
  2. … keine Ersatzdokumente für die zwei Lichtbildausweise zugelassen sind.
  3. … auch nicht ersatzweise eine Fern-Validierung stattfinden darf.
  4. … es Aufbewahrungsfristen für die Validierungsunterlagen gibt, die einzuhalten sind.
  5. … auch Verwandschaft und Bekanntschaft natürlich nicht ausgenommen sind.
  6. … man Notar bleibt, wenn man einmal eine Class 2-Verifizierung hatte und den Notar-Test bestanden hat und mindestens einmal von einem anderen Notar validiert wurde.
  7. … man kein offizieller Repräsentant von StartCom ist.

Hat man in diesem Test zehn zufällig ausgewählte Fragen einmal komplett richtig beantwortet, so erhält man den Notar-Status.

Schritt 2: StartSSL-Notar-Status beibehalten

Um den Notarstatus zu behalten, sind nicht viele Voraussetzungen notwendig. Die  wesentlichste ist wohl, dass man irgendwann einmal selbst von einem Notar validiert werden muss. Dazu gibt es den sogenannten Notary Finder des WoT.

StartSSL: Einen WoT-Notar finden.
StartSSL: Einen Notar finden.

Hat man mit diesem Hilfsmittel einen Notar gefunden, macht man einen Termin ab und lässt sich validieren. Der Vorgang ist logischerweise der Gleiche wie man selbst validiert, nur dass man auf der anderen Seite des Tisches sitzt. ;-)

Fazit

Der Aufwand und die Kosten für eine einmalige Class 2-Validierung, einen dauerhaften Notarstatus sowie einen Namenseintrag im Zertifikt sind bei StartSSL überschaubar. Dafür erhält man quasi lebenslang eine gute Quelle für Zertifikate. Bis auf Bedenken beim Datenschutz und bei der Anfertigung der Ausweiskopien ist das Verfahren komplett unbedenklich.

Wer also bei StartSSL seine Zertifikate nutzt, fährt damit üblicherweise wesentlich günstiger als bei anderen Anbietern.