Das mit dem Apple-Zertifikat hat warlord doch damals beantwortet. Das ist aber auch ein echter Sonderfall.
Die „Meldung im Systemdesign“ hat mit Zertifikaten auch nichts zu tun.
Zertifikate haben zwei Funktionen:
Identitätscheck und Verschlüsselung.
Zertifikate einordnen und bewerten kann man natürlich nur, wenn man sie liest.
Das macht meiner Schätzung nach niemand wirklich. Daher haben die Browser-Hersteller nachgerüstet.
Generell muss das Zertifikat natürlich zur Domain passen und gültig sein - der Browser übernimmt diesen Check. Mittlerweile haben viele Browser auch Funktionen, etwa färben sie die Adresszeile grün, wenn das Zertifikat wirklich 100% sicher ist.
Wenn Du mehr wissen willst, musst Du auf das Schloss klicken und brauchst in Safari insgesamt „nur“ drei Klicks. Dann erfährst Du, wer der Aussteller des Zertifikats ist, seit und wie lange es gültig ist, welche Verschlüsselung zum Einsatz kommt und v.a. auch, wie der Serverbetreiber denn eigentlich vor Ausstellen des Zertifikats überprüft wurde.
Im Titel des Zertifikats steht dazu i.d.R. G2/G3/G4. G2 bedeutet, dass eigentlich nur sichergestellt wurde, dass der Server zu einer anderen Email passt. Ein echter Identitätscheck findet also nicht statt. Ein Beispiel für G2 ist wikipedia, wo das sicherheitstechnisch auch in Ordnung geht. Dort steht, komischerweise, als Organisationsname sogar „domain validated“.
Banken usw. müssen sich schon in der echten Welt ausweisen und haben G3 oder G4 oder im Namen man liest PKI. Dann färbt Safari die URL auch grün. Beispiel der eBay-Login. Manchmal funktioniert das auch nicht - weiß nicht genau, warum. Wahrscheinlich lassen sich die Zertifikationsstellen das extra bezahlen.
Ein anderer Unterscheidungspunkt ist das Wörtchen „kritisch“ für bestimmte Anwendungszwecke. Oft steht auch da, wie verifiziert wurde und es sind auch immer Links, wo man mehr lesen kann, was natürlich sehr aufwendig ist, weil kaum jemand das aufbereitet, sondern auf ein Dokumentenarchiv verweist.
So läuft das also im Internet:
- Serverbetreiber braucht Zertifikat
- Anerkannte Zertifikationsstelle verkauft es ihm
- Er installiert es auf dem Server
- Des Users Browser checkt, ob das Z. zur Seite passt, ob es noch gültig ist, welche Güte es hat und wer es ausgestellt hat. Für letzten Punkt schaut er in die Liste der auf dem OS X vorinstallierten Liste
- Stimmt was nicht, kommt eine Warnmeldung, manche färben die URL auch noch rot und was weiß ich
- Stimmt alles, generiert der Browser einen Schlüssel und mit dem öffentlichen Schlüssel des Server-Zertifikats zusammen entsteht ein Session-gebundene Verschlüsselung
- Stimmt alles und liegt ein echter Identitätscheck vor, wird die URL oder Adresszeile grün
Nun kann an Zertifikate auch anders verwenden. Z.B. um eine App mit dem eigenen Server zu verbinden. Und siehe da, dort sind meistens
selbst erzeugte Zertifikate im Einsatz, die nicht gegengecheckt wurden, aber immerhin erlauben sie eine Verschlüsselung der Verbindung.
Leider gibt es aber keine Warnung für die User, dass hier theoretisch irgendwer irgendwelche Identitäten angenommen haben könnte. Theoretisch aber könnte sich jetzt jemand unerkannt dazwischen klemmen, denn man sieht ja nicht, was da abgeht und geprüft wird es vom System m.W. auch nicht.
Das System hat auch generell Angriffspunkte, insbesondere steht und fällt es mit der Seriosität und Sicherheit der Zertifikationsinstitute. Skandale gab es ja schon.
Was Dell gemacht hat, sieht für mich nach böser Absicht aus. Mittlerweile haben sie immerhin reagiert und wollen ein Update bereitstellen. Hier handelt es sich um ein Root-Zertifikat, welches auch noch andere Zertifikate beglaubigen konnte
und dessen privater Schlüssel allgemein bekannt ist. So kann sich ein Angreifer sein selbst ausgestelltes Zertifikat beglaubigen lassen. Leitet er nun den den https-Verkehr über seinen Proxy, wird keine Warnung gegeben. Der Browser verbindet sich also mit dem Proxy und schickt seine Daten an den Angreifer/man in the middle.
Was mir wegen akutem Windows-Unwissen nicht klar ist: Ob er Kontrolle über den Dell haben muss oder ob das im selben Netz schon geht.