Ich habe letzte Woche darüber geschrieben, dass eine Partnerschaft bei den Sicherheitszertfikat-Entwicklern IdenTrust und Lets Encrypt auslaufen wird. Mir war aufgefallen, dass auffällig viele unserer Kollegen indirekt oder direkt dazu geraten haben, sich ein neues Smartphone zuzulegen. Das sei die einzig verlässliche Weise, um Schwierigkeiten beim Besuchen bestimmter Websites zu umgehen.
Ich konnte diese Empfehlung nicht ganz nachvollziehen – und daran hat sich auch bis jetzt nichts geändert. Im Artikel von letzter Woche erklärte ich, wie leicht es ist, ein Sicherheitszertifikat zu installieren. Das kostet, wenn Stick oder SD-Karte für das eigene Smartphone vorhanden sind, nichts und ihr müsst euch nicht unnötigerweise ein neues Smartphone zulegen, wenn ihr mit dem alten ansonsten noch zufrieden seid.
Allerdings hat mich ein Bekannter darauf aufmerksam gemacht, dass die Installation von Sicherheitszertifikaten durchaus etwas Kritisches ist. Seine Argumentation lautete, dass Sicherheitszertifikat-Entwickler und unsere Tech-Kollegen die Installation von Sicherheitszertifikaten nicht empfehlen würden. Da dies als neuer Vektor für Hacker genutzt werden könnte. Installiert ihr ein gefaktes Zertifikat kann ein Hacker damit euren gesamten Nutzungsverlauf nachverfolgen.
Jemand könnte jetzt also einfach behaupten, wie ich hier im Artikel, dass gerade eine Partnerschaft bei euren Browsern zwischen den Sicherheitszertfikaten X und Y abgelaufen ist. “Um jetzt unsere Website ansteuern zu können, musst du daher unser neues Sicherheitszertifkat installieren.” Nicht unrealistisch und es gibt im Netz sicherlich wesentlich dreistere Versuche
Ich habe beim Schreiben des Artikels daran überhaupt nicht gedacht. Allerdings warnt euch Android auch vor, wenn ihr ein Zertfikat installieren wollt, dass dies von einer vertrauenswürdigen Quelle stammen muss und ansonsten ein hohes Risiko ist. Ich finde diesen Nachtrag wichtig. Allerdings finde ich, dass nicht das Wissen, wie und warum bei Sicherheitszertfikaten gefährlich ist, sondern gerade das Unwissen darüber.
Also installiert die Sicherheitszertifikate ruhig selbst, wenn es kein anderer für euch macht. Achtet beim Download am besten darauf, dass ihr die richtige Website angesteuert habt und dass diese selbst mit dem richtigen Sicherheitszertifikat ausgestattet ist. Dann kann nichts passieren und ihr müsst euch immer noch kein neues Smartphone kaufen.
