Worum geht es überhaupt? Nun, wenn wir per Internet auf eine Website oder Gemini-Kapsel zugreifen, dann ist Übertragung verschlüsselt. Wir wollen, dass erstens niemand mitlesen kann, was wir eingeben, z.B: Passwörter, und zweitens wollen wir, dass wir mit genau der Website oder Kapsel verbunden sind, die wir meinen und nicht jemand uns vortäuscht, er wäre zum Beispiel Google oder unsere Bank.
Dafür werden Webseiten mit sogenannten Zertifikaten abgesichert. Die sollen bescheinigen, dass es sich wirklich um die originale Website handelt und nicht um den Faik von jemandem, der uns etwas vorgaukeln will. Um das zu erreichen, gibt es nun zwei Ansätze:
Das Zertifikat beinhaltet selber einen Verweis auf eine höhere Autorität und nur mit deren Hilfe kann das Zertifikat ausgestellt werden. Mit dem Ausstellen bescheinigt die höhere Autorität, dass sie geprüft hat, dass eine Domain, wie zum Beispiel wikipedia.de, tatsächlich denen gehört.
Diese höheren Autoritäten, auch englisch Certified Authorities (CAs) genannt, haben unterschiedliche Methoden, wie sie diese Prüfung durchführen. Die CA »Letsencrypt« macht es zum Beispiel so, dass ich von denen ein Geheimnis bekommen und auf meinem Webserver beispiel.de hinterlege. Wenn Letsencrypt dieses Geheimnis von dort abrufen kann, wissen die, dass beispiel.de wirklich mir gehört. Als zusätzliche Sicherheit muss dieser Test alle drei Monate neu gemacht werden.
Dieser Ansatz hat den Vorteil, dass nicht irgendwer behaupten kann, er wäre Wikipedia, da die CA das nochmals prüft. Andererseits habe ich dadurch den Nachteil, dass ich immer von dieser CA abhängig bin. Kann ich mein Zertifikat nicht erneuern, weil es technische Schwierigkeiten oder politische Krisen zwischen Ländern gibt, sind meine Zertifikate plötzlich nicht mehr gültig und ein Webbrowser kann meine Website nicht mehr aufrufen.
Ein anderes Verfahren wird bei Gemini angewandt: Die Zertifikate haben nicht eine Gültigkeit von drei Monaten, sondern am Besten für immer. Sie müssen nie ausgetauscht werden und so ist immer erkennbar, dass ich dieselber Website erreiche, da mein Browser sich nach dem ersten Aufruf einfach das Zertifikat merkt. Außerdem können wir diese Zertifikate komplett selber machen und brauchen keine höhere Authorität dafür, die uns irgendwas bescheinigt.
Aber jetzt wirst Du sagen: Woher weiß ich denn dann eigentlich, dass beim ersten Aufruf alles stimmt? Und die Antwort ist: Du weißt es nicht. Du musst davon ausgehen, wenn eine Kapsel neu ist, dass es ja auch noch irgendwie keinen Grund gibt, zu betrügen. Und einmal aufgerufen schreit unser Browser sofort, wenn sich das Zertifikat was er sich sofort merkt, ändert. Das kommt manchmal tatsächlich vor, wenn zum Beispiel ein Server versehentlich gelöscht wurde und es kein Backup gibt. Oder, wenn der Administrator die Gültigkeit des Zertifikats zu kurz gewählt hat und nun ein neues machen muss.
Beide Systeme haben ihre Vor- und Nachteile. Bei Gemini wird TOFU verwendet, hat ja auch was Veganes. ;-)