Am selben Tag, an dem Tails 0.10 veröffentlicht wurde, begann unsere Website, ein kommerzielles SSL-Zertifikat zu verwenden. Dieses neue Zertifikat ersetzt das vorherige Zertifikat, das von der nichtkommerziellen [CACert-Zertifizierungsstelle] (https://www.cacert.org/) bereitgestellt wurde.

Was sind SSL-Zertifikate?

Die Verwendung von HTTPS anstelle von einfachem HTTP, um eine Verbindung zu einer Website herzustellen, ermöglicht es Ihnen, Ihre Kommunikation mit dem Server zu verschlüsseln. Aber Verschlüsselung allein garantiert nicht, dass Sie mit dem richtigen Server sprechen und nicht mit jemandem, der ihn fälscht, beispielsweise im Falle eines Man-in-the-Middle-Angriffs.

SSL-Zertifikate versuchen, dieses Problem zu lösen. Ein SSL-Zertifikat wird normalerweise von einer Zertifizierungsstelle ausgestellt, um die Identität eines Servers zu zertifizieren. Wenn Sie eine Website erreichen, vertraut Ihr Webbrowser möglicherweise automatisch einem SSL-Zertifikat, wenn er der Behörde vertraut, die es ausgestellt hat.

Kommerzielle Zertifizierungsstellen leben vom Verkauf von SSL-Zertifikaten. Die meisten Browser vertrauen ihnen normalerweise automatisch. Andere nichtkommerzielle Zertifizierungsstellen wie CACert müssen vom Betriebssystem oder vom Benutzer installiert werden, um zu vermeiden, dass beim Besuch der Website eine Sicherheitswarnung angezeigt wird.

Schwächen des Systems

Aber dieses Vertrauenssystem hat sich in vielerlei Hinsicht als fehlerhaft erwiesen. Zum Beispiel wurden im Jahr 2011 zwei Zertifizierungsstellen kompromittiert, und viele gefälschte Zertifikate wurden ausgestellt und in der Praxis verwendet. Siehe Comodo: Der kürzliche RA-Kompromiss und Das Tor-Projekt: Das DigiNotar-Debakel und was Sie dagegen tun sollten.

Es ist für uns klar, dass der Erhalt eines kommerziellen SSL-Zertifikats nicht ausreicht, um unsere Website und beispielsweise die Authentizität unserer Releases stark zu authentifizieren. Deshalb bieten wir Ihnen immer stärkere Möglichkeiten zur Authentifizierung unserer Tails-Releases mithilfe von OpenPGP-Signaturen an.

Warum also ein kommerzielles Zertifikat erwerben?

Trotzdem haben wir uns aus folgenden Gründen für ein kommerzielles Zertifikat entschieden:

  • Es erschwert die Einrichtung einfacher Man-in-the-Middle-Angriffe gegen die Personen, die bisher kein HTTPS verwendet haben, um unsere Website zu besuchen.
  • Unsere Website ist jetzt nur mit aktiviertem HTTPS verfügbar. Dies kann wichtig sein, um z.B. beim Posten im Forum Vertraulichkeit zu gewährleisten.