Zertifikate sind wie eine Bestätigung, dass die an Sie gesendete Nachricht original und nicht manipuliert ist. Natürlich gibt es Methoden, um die Bestätigungen zu fälschen, wie das SuperFish-Zertifikat von Lenovo – und wir werden gleich darüber sprechen. Dieser Artikel erklärt Was sind Root-Zertifikate in Windows und ob Sie diese aktualisieren sollten – denn Windows zeigt sie immer als unkritische Updates an.
Wie funktioniert Public-Key-Kryptographie?
Bevor wir über Root-Zertifikate sprechen, ist es notwendig, einen Blick darauf zu werfen, wie Kryptografie bei Web-Gesprächen, zwischen Websites und Browsern oder zwischen zwei Personen in Form von Nachrichten funktioniert.
Es gibt viele Arten von Kryptographie, von denen zwei wesentlich sind und ausgiebig für verschiedene Zwecke verwendet werden.
- Symmetrische Kryptografie wird verwendet, wenn Sie einen Schlüssel haben und nur dieser Schlüssel zum Verschlüsseln und Entschlüsseln von Nachrichten verwendet werden kann (meistens in der E-Mail-Kommunikation verwendet)
- Asymmetrische Kryptografie, wo es zwei Schlüssel gibt. Einer dieser Schlüssel wird zum Verschlüsseln einer Nachricht verwendet, während der andere Schlüssel zum Entschlüsseln der Nachricht verwendet wird
Die Public-Key-Kryptographie hat einen öffentlichen und einen privaten Schlüssel. Nachrichten können mit einem der beiden dekodiert und verschlüsselt werden. Die Verwendung beider Tasten ist für eine vollständige Kommunikation unerlässlich. Der öffentliche Schlüssel ist für alle sichtbar und wird verwendet, um sicherzustellen, dass der Ursprung der Nachricht genau so ist, wie er scheint. Der öffentliche Schlüssel verschlüsselt die Daten und wird an den Empfänger mit dem öffentlichen Schlüssel gesendet. Der Empfänger entschlüsselt die Daten mit dem privaten Schlüssel. Es wird eine Vertrauensbeziehung aufgebaut und die Kommunikation fortgesetzt.
Sowohl der öffentliche als auch der private Schlüssel enthalten Informationen über die Zertifikat ausstellende Behörde wie zum Beispiel Equifax, DigiCert, Comodo usw. Wenn Ihr Betriebssystem die zertifikatausstellende Stelle als vertrauenswürdig einstuft, werden die Nachrichten zwischen dem Browser und den Websites hin und her gesendet. Wenn es ein Problem bei der Identifizierung der das Zertifikat ausstellenden Stelle gibt oder wenn der öffentliche Schlüssel abgelaufen oder beschädigt ist, wird eine Meldung angezeigt Es gibt ein Problem mit dem Zertifikat der Website.
Wenn wir jetzt über Public-Key-Kryptographie sprechen, ist es wie ein Banktresor. Es hat zwei Schlüssel – einen mit dem Filialleiter und einen mit dem Benutzer des Tresors. Der Tresor öffnet sich nur, wenn die beiden Schlüssel verwendet und abgeglichen werden. Ebenso werden sowohl der öffentliche als auch der private Schlüssel beim Herstellen einer Verbindung mit einer beliebigen Website verwendet.
Was sind Root-Zertifikate in Windows 11/10
Stammzertifikate sind die primäre Ebene von Zertifizierungen, die einem Browser mitteilen, dass die Kommunikation echt ist. Diese Information, dass die Kommunikation echt ist, basiert auf der Identifizierung der Zertifizierungsstelle. Ihr Windows-Betriebssystem fügt mehrere Stammzertifikate als vertrauenswürdig hinzu, damit Ihr Browser diese zur Kommunikation mit Websites verwenden kann.
Dies hilft auch bei der Verschlüsselung der Kommunikation zwischen den Browsern und Websites und macht automatisch andere Zertifikate darunter gültig. Das Zertifikat hat also viele Verzweigungen. Wenn beispielsweise ein Zertifikat von Comodo installiert ist, verfügt es über ein Zertifikat der obersten Ebene, das Webbrowsern hilft, verschlüsselt mit Websites zu kommunizieren. Als Zweig im Zertifikat fügt Comodo auch E-Mail-Zertifikate hinzu, denen Browser und E-Mail-Clients automatisch vertrauen, da das Betriebssystem das Stammzertifikat als vertrauenswürdig markiert hat.
Stammzertifikate bestimmen, ob eine Kommunikationssitzung mit einer Website geöffnet werden soll. Wenn sich ein Webbrowser einer Website nähert, gibt die Website ihr einen öffentlichen Schlüssel. Der Browser analysiert den Schlüssel, um zu sehen, wer die ausstellende Stelle ist, ob die Stelle laut Windows vertrauenswürdig ist, das Ablaufdatum des Zertifikats (falls das Zertifikat noch gültig ist) und ähnliches, bevor er mit der Kommunikation mit der Website fortfährt. Wenn etwas nicht in Ordnung ist, erhalten Sie eine Warnung, und Ihr Browser blockiert möglicherweise die gesamte Kommunikation mit der Website.
Auf der anderen Seite, wenn alles in Ordnung ist, werden Nachrichten vom Browser gesendet und empfangen, während die Kommunikation stattfindet. Bei jeder eingehenden Nachricht überprüft der Browser die Nachricht auch mit seinem eigenen privaten Schlüssel, um festzustellen, ob es sich nicht um eine betrügerische Nachricht handelt. Es antwortet nur, wenn es die Nachricht mit seinem eigenen privaten Schlüssel entschlüsseln kann. Daher sind beide Schlüssel erforderlich, um die Kommunikation fortzusetzen. Darüber hinaus wird die gesamte Kommunikation im verschlüsselten Modus übertragen.
Gefälschte Root-Zertifikate
Es gibt Fälle, in denen Unternehmen, Hacker usw. versucht haben, die Benutzer zu täuschen. Der jüngste Fall, dass einem ungültigen Zertifikat als Root vertraut wurde, macht immer noch die Runde. Dies war das ‘SuperFish’-Zertifikat in Lenovo-Computern. Die Superfish-Adware installierte ein Root-Zertifikat, das legitim schien und es Browsern ermöglichte, mit Websites zu kommunizieren. Das Verschlüsselungssystem war jedoch so schwach, dass es leicht ausgespäht werden konnte.
Lenovo sagte, es wolle das Einkaufserlebnis der Benutzer verbessern und stattdessen ihre privaten Daten Hackern im Internet preisgeben. Diese privaten Daten können alles sein, einschließlich Kreditkarteninformationen, Sozialversicherungsnummer usw. Wenn Sie einen Lenovo-Computer haben, stellen Sie sicher, dass die Adware nicht installiert ist, indem Sie die vertrauenswürdigen Zertifikate in Ihren Browsern überprüfen. Wenn es eines gibt, aktualisieren Sie Windows Defender und führen Sie es aus, um das Zertifikat zu entfernen. Es gibt auch ein von Lenovo veröffentlichtes Tool zum automatischen Entfernen.
Sie können mit Root Certificates Scanner oder SigCheck nach unsignierten oder nicht vertrauenswürdigen Windows-Stammzertifikaten suchen.
Fazit
Root-Zertifikate sind wichtig, damit Ihre Browser mit den Websites kommunizieren können. Wenn Sie aus Neugier oder zur Sicherheit alle vertrauenswürdigen Zertifikate löschen, erhalten Sie immer eine Meldung, dass Sie sich auf einer nicht vertrauenswürdigen Verbindung befinden. Sie können vertrauenswürdige Stammzertifikate über herunterladen Programm für Microsoft Windows-Stammzertifikatewenn Sie der Meinung sind, dass Sie nicht über alle erforderlichen Stammzertifikate verfügen.
In den unkritischen Updates sollten Sie immer mal wieder nachsehen, ob es Updates für Root-Zertifikate gibt. Wenn ja, laden Sie sie nur mit Windows Update herunter und nicht von Websites von Drittanbietern.
Es gibt auch gefälschte Zertifikate, aber die Chancen, dass Sie die gefälschten Zertifikate erhalten, sind begrenzt – nur wenn Ihr Computerhersteller eines zur Liste der vertrauenswürdigen Stammzertifikate hinzufügt, wie es Lenovo getan hat, oder wenn Sie Stammzertifikate von Websites von Drittanbietern herunterladen. Es ist besser, sich an Microsoft zu halten und es die Root-Zertifikate verwalten zu lassen, anstatt sie selbst von irgendwo im Internet zu installieren. Sie können auch sehen, ob ein Stammzertifikat vertrauenswürdig ist, indem Sie es öffnen und eine Suche nach dem Namen der Zertifikatsaussteller durchführen. Wenn die Behörde seriös erscheint, können Sie sie installieren oder behalten. Wenn Sie die ausstellende Stelle des Zertifikats nicht erkennen können, ist es besser, sie zu entfernen.
In ein oder zwei Wochen werden wir sehen, wie vertrauenswürdige Stammzertifikate verwaltet werden.
