Vorsicht bei SSL:
Zertifikat ist
nicht gleich Zertifikat

Wie schlampig oder
sparsam konfigurierte
SSL-Zertifikate
Vertrauen zerstören

von | 20.08.2017 | 0 Kommentare

Zu unseren Aufgaben als Agentur zählt unter anderem die redaktionelle Pflege von Corporate Blogs. Informative Links zu externen Websites runden gute Blogpostings ab. Klar, dass die Autoren, mit denen wir zusammenarbeiten, und auch wir auf die Qualität weiterführender Links achten: Ist die verlinkte Website seriös? Können wir damit rechnen, dass die Leser sich dort zurechtfinden? Ist das Linkziel die inhaltlich führende Instanz zum Thema oder gibt es noch eine bessere Quelle, auf die wir verlinken können?

Was uns vor wenigen Tagen passiert ist, war in dieser Form jedoch neu. Ein wichtiger Link in einem Blogposting auf einer Kundenseite führte zu einer staatseigenen Stelle mit hoher Seriosität und Reputation, die u.a. öffentliche Gelder verteilt. Sozusagen ein 1-A-Linkziel höchster Güte. Und dennoch entpuppte sich genau dieser Link als Qualitätsproblem, das Leser massiv verunsichern könnte – allerdings nur solche mit dem Browser Internet Explorer. Dahinter steckte ein mangelhaft implementiertes SSL-Zertifikat.

“Der Link zu *** funktioniert gar nicht”,

schrieb unsere Kundin, und wir konkretisieren an dieser Stelle nicht, um welche Institution es sich bei “***” handelt, denn es geht uns hier nicht darum, eine Institution öffentlich an den Pranger zu stellen.

Nur soviel: Es handelt sich um eine Organisation, die nahezu jeder Person, die im Wirtschaftsleben in Deutschland eine verantwortliche Rolle spielt, mit höchster Wahrscheinlichkeit kennt.

Ursachenforschung also, Rückmeldung an die Kundin: “Bei uns funktioniert der Link.” Einiges an Hin- und Her-Überlegen. Woran konnte es liegen? Mail an die Kundin mit der Bitte um einen Screenshot.

Als der kam, kam auch die Klarheit: Ein SSL-Zertifikate-Fehler. Das Zertifikat der verlinkten Website sei nicht vertrauenswürdig, meldete der Browser der Kundin, ein Internet Explorer der Version 11.

SSL Zertifikat Fehler Internet Explorer 11

Wenn Besucher eines Corporate Blog beim Klick auf ausgehende Links solche Fehler sehen, dann schafft das nicht gerade Vertrauen.

Nun ist zwar der Marktanteil des Internet Explorer seit Jahren rückläufig. Doch zum einen verwenden die Mitarbeiter in besagtem Unternehmen allesamt den Internet Explorer – weil das dort Hausstandard ist. Und zum anderen ist das Unternehmen damit in guter Gesellschaft. Es gibt viele Firmen, gerade große, in denen die Mitarbeiter überhaupt nicht die Wahl haben, welchen Browser sie nun verwenden möchten – es ist ein Browser installiert. Der wird genommen. Und dieser Browser heißt eben in vielen Fällen nicht Chrome, Firefox, Safari oder gar Opera – sondern Internet Explorer, ob das nun den Mitarbeitern gefällt oder nicht.

Große Falle bei der Qualitätssicherung für ausgehende Links

Hier lauert eine große Falle, wenn es darum geht, die Qualität ausgehender Links in Corporate Blogs zu sichern: Denn Browser verhalten sich nicht durchweg gleich, wenn es um die Bewertung von Internetseiten geht. Was wir hier erlebt haben, war ein klassisches Beispiel: Während die von uns verwendeten Browser keinerlei Probleme mit der verlinkten URL hatten, meldete Internet Explorer 11 in drastischer Weise ein Sicherheitsproblem beim SSL-Zertifikat der verlinkten Website.

Mitarbeiter denken: Unser Blog verlinkt eine unsichere Website

Da wir wissen, dass im Kundenunternehmen besagter Internet Explorer aktuell der Standardbrowser ist, war klar: Jeder Mitarbeiter – und die eigenen Mitarbeiter sind bei Corporate Blogs mitunter eine sehr wichtige Zielgruppe – würde beim Anklicken des Links im hauseigenen Corporate Blog den Eindruck erhalten, dass von dort aus auf eine unsichere Website verlinkt würde. Das kann schon einmal dazu führen, dass es in einem großen Unternehmen plötzlich ein willkommenes Thema in der Kantine gibt. “Hast du auch schon gesehen? Was haben die wieder angestellt in der Abteilung Öffentlichkeitsarbeit? Keine Ahnung vom Internet.”

Doch wo lag nun das Problem? Lag eine besondere Konfiguration auf Kundenseite vor? DNS Caching vielleicht, das dazu führen kann, dass Nutzer in bestimmten Unternehmensnetzen bei Eingabe bestimmter URLs auf IP-Adressen von Servern geschickt werden, die inzwischen gar nicht mehr zuständig sind? Das kann passieren. Und das würde ebenfalls zu besagtem SSL-Fehler führen – ohne, dass unser Corporate Blog und der Link dort wirklich etwas dafür könnte.

Bei der Ursachenforschung hätte man durchaus auf solche falschen Fährten gelangen können. Denn wie sich im Rahmen der Nachforschungen zeigte, nehmen es manche sogenannte “SSL Checker”, die im Web ihre Dienste anbieten, mit der Prüfung von SSL-Zertifikaten nicht ganz so genau.

Mehrere SSL Checker Tools waren der Meinung: “Zertifikat richtig installiert”

In unserem Fall lieferten mehrere dieser Tools, u.a. solche, die führende Webhoster aus Deutschland anbieten, die Information zurück, das Zertifikat sei “richtig installiert” – grünes Häkchen und lediglich zwei zusätzliche “Warnungen”.

Erst der umfassende SSL Check der Qualys SSL Labs deckte eine ganze Reihe massiver Mängel auf – womit die Ursache für die Fehlermeldung durch den Internet Explorer 11 auf dem Tisch lag.

Ergebnis SSL-Test Qualys

 

Wenig schmeichelhaft: Ergebnis des SSL-Tests der Qualys SSL Labs für die verlinkte Website

Wie sich ein solches – von zu oberflächlichen SSL Check Tools als “richtig installiert” eingeschätztes – SSL-Zertifikat bei einem tiefgreifenden SSL Check wie dem von Qualys schlägt, sehen Sie im oben stehenden Screenshot.

Wir haben daraufhin bei Qualys nachgefragt: Warum sehen Besucher mit dem IE11 auf besagter Website eine Fehlermeldung und können die verlinkte Seite nicht aufrufen?

Bhushan Lokhande von Qualys, Senior SSL Labs Sofware Engineer, hat sich die Angelegenheit dankenswerterweise für uns angeschaut und kommt zu dem Schluss:

“Die betroffene Website hat eine insgesamt schwache SSL-Konfiguration (angreifbar durch die SWEET32-Attacke, schwache Diffie-Hellman Key Exchange Parameter etc.). Die Zertifikatkette ist nicht richtig konfiguriert, dies führt dazu, dass IE Warnungen ausgibt.”

Wir fanden es überraschend, dass selbst eine staatseigene Institution, um deren SSL-Zertifikat sich offensichtlich einer der größten deutschen IT-Konzerne kümmert, mit einer derart mangelhaften SSL-Implementierung im Web unterwegs ist. Den Link zu den Informationsseiten dort haben wir einstweilen aus dem Corporate Blog unseres Kunden entfernt und die betroffene Institution über das Problem informiert.

Aus unserer Sicht ergeben sich daraus folgende Handlungsempfehlungen:

 

  1. Checken Sie die Zertifikate von Websites, auf die Sie verlinken, mit einem wirklich tiefgreifenden SSL Checker wie dem von Qualys SSL Labs. Wenn Sie einen Test durchführen, aktivieren Sie bei Bedarf die Checkbox “Do not show the results on the boards”, damit das Ergebnis nicht öffentlich gemacht wird.
  2. Selbiges gilt natürlich auch für Ihr eigenes SSL-Zertifikat.
  3. Dass eine Website sich mit Ihrem eigenen Browser klaglos öffnen lässt, ist keine Gewähr dafür, dass auch Ihre Kunden und Geschäftspartner keine SSL-Warnung erhalten.
  4. Gerade Unternehmen in der Kreativ- und Kommunikationsbranche sollten darauf achten: Nicht jeder Nutzer da draußen benutzt einen Chrome oder Firefox. Wenn Nutzer mit einem Internet Explorer eine furchteinflößende Sicherheitswarnung erhalten, dann kann das nicht in Ihrem Sinne sein.
  5. Schlimmer noch: Wenn es ganz ungünstig läuft, dann kann so laufen: Sie haben selbst ein unzureichendes SSL-Zertifikat. Oder Sie verwenden Links auf Websites mit einem solchen. Über die Zeit verunsichern und verschrecken Sie sehr, sehr viele Firmen-Leser, die mit einem Internet Explorer unterwegs sind, bevor Sie endlich selbst von dem Problem Kenntnis erlangen.

Unser Fazit aus der Geschichte: Beschäftigen Sie sich mit der Qualität Ihrer SSL-Zertifikate und der Ihrer wichtigsten Linkziele, bevor Ihre Leser das unfreiwillig tun müssen.

Unsere Wissensdatenbank rund um Websites und Online Marketing

Web & Technik

SSL

SSL-Zertifikat von Let's Encrypt trotz 301-Umleitung automatisch erneuern - es geht doch.

DNSSEC

Was ist DNSSEC und wozu dient es?

WordPress Themes

Wie finde ich das richtige WordPress Theme?

Spam-Kommentare

Wie vermeide ich Kommentar-Spam in Blogs?

Mehrsprachige Websites

Mehrsprachige Websites: Wie groß ist der Aufwand?

Marketing

Corporate Blogs

Was ist ein Corporate Blog und wozu dient es?

WordPress

Warum sollte ich WordPress installieren?

Google Maps

Warum wird mein Unternehmen auf Google Maps nicht richtig gefunden?

Twitter

Wie funktioniert Twitter für Unternehmen?

Facebook Ads

Wie kann ich meine Facebook Ads optimieren?

Reputation Management

Guter Ruf online

Wie kann ich meinen guten Ruf online verteidigen?

Online-Krisen

Wie kann ich mich durch ein Training auf eine Online-Kritikwelle vorbereiten?

Shitstorms

Wie kann ich mich auf einen Shitstorm vorbereiten?

Spam bei Google

Meine Website wurde gehackt. Wir kriege ich den Spam wieder aus den Google-Suchergebnissen?