Kategorie Gesellschaft

Umkehr der Beweislast

11. Januar 2015 in Gesellschaft.

Ich verstehe nicht, was kommerzielle SSL-Zertifikate bringen. Welchen Sicherheitsvorteil bringt irgendeinem Besucher meiner Webseite die Tatsache, dass ich jedes Jahr 70 Euro an irgendeinen dubiosen Laden (DL) überweise?

Für diese 70 Euro  erhalte ich, der Anbieter (A) ein Zertifikat. Der öffentliche Anteil (ÖA) liegt bei mir und ausserdem noch bei DL. Der private Anteil (PA) liegt nur bei mir. Wenn jetzt ein Kunde (K) auf meine Webseite kommt, bekommt er ebenfalls den öffentlichen Anteil. Damit wird ab jetzt verschlüsselt.

Es kommt zum Schadensfall für K. Es kommt zum Streit zwischen A und K. K sagt „ich war auf As  Webseite und bin dort betrogen worden“. Um jetzt sicher zu sein, müsste das Gericht doch Zugriff auf die SSL-Transaktionslogs von K haben, um (zweifelsfrei?) feststellen zu können, dass K nicht wirklich auf As  Webseite war, wie sich anhand der Verschlüsselung dann ja feststellen liesse. Die Tatsache, dass ÖA bei DL (irgendwo in Alabama) nochmal abgespeichert ist, hilft dabei nicht.

Also hat es A  keine  Vorteil gebracht, dass A seinen  ÖA bei DL hinterlegt hat, denn ein Paar ÖA/PA hätte A sich genausogut selbst ausstellen können.

Optimalerweise tut A das auch, und das einzige, was DL hinzufügt, ist eine Signatur, die prinzipiell aussagt: „ÖA gesehen von: DL“. Diese Aussage ist genauso zuverlässig wie DL wie, das heisst, wie zuverlässig sie konkret ist, ist unklar. Wenn wir annehmen, sie sei zuverlässig, und DL ist immer DL (was ich mir angesichts des heutigen M&A-Gebahrens schwer vorzustellen vermag), kann K zum Zeitpunkt der Transaktion zu sich selbst sagen „während ich diese Transaktion abwickle, ist der ÖA gesehen von DL“. Aber kann er das im juristischen Streitfall auch belegen?

Dafür ist mir kein technisches Verfahren bekannt. Es sind zwar technische Verfahren denkbar, die das komplett implementieren, zum Beispiel, dass bei K der Webbrowser ein SSL-Transaktionslog vorhielte, in dem stünde, wann für welche URL welcher ÖA verwendet wurde, aber diese sind nur so zuverlässig wie der Webbrowser. Also sind sie gelinde gesagt nicht sehr zuverlässig. Zumindest im Fall Windows/IE (um das mal als extremes Negativbeispiel herauszupicken) sind sie sogar nur so zuverlässig wie das OS, also komplett unzuverlässig. Ich habe eigentlich nur einen DL durch einen anderen ersetzt.

Meine Meinung ist also, dass der angepriesene Vorteil von kommerziellen SSL-Zertifikaten (genauer kommerziell signierten öffentlichen Schlüsseln), nämlich juristisch verwertbare Integrität von Endpunkten bei kommerziellen Transaktionen, nicht existiert. Etwas wird nicht deswegen juristisch verwertbar, weil es Geld kostet, dadurch wird es nur kommerziell.