Eine gefüllte Lücke

Zur verschlüsselten Übertragung von Webseiten werden TLS-Zertifikate benötigt1. TLS-Zertifikate werden von sogenannten “Certificate Authorities” (CAs) ausgestellt. Das sind Firmen, die TLS-Zertifikate ausstellen. Webbrowser und Betriebssysteme werden mit Listen von “vertrauenswürdigen” Certificate Authorities ausgeliefert. Wenn das Zertifikat einer Webseite von einer dieser “vertrauenswürdigen” CAs ausgestellt wurde, dann wird darauf vertraut, dass die Verbindung sicher verschlüsselt ist.

Möchte man für eine Webseite ein TLS-Zertifikat, geht man also zu einer CA und lässt sich ein Zertifikat ausstellen. In der Regel kostet das relativ viel Geld (COMODO verlangt aktuell zum Beispiel 76,95 € für ein einzelnes Zertifikat). Das ist also nichts, was man “mal eben” für die eigene Wald-und-Wiesen-Webseite kauft. Es gibt auch kostenlose Angebot wie z. B. StartSSL, aber die sind in der Regel technisch sehr beschränkt und als Lockmittel für die teureren Angebote konzipiert.

Und dann gibt es seit Ende 2015 noch Let’s Encrypt. Let’s Encrypt stellt automatisiert kostenlos Zertifikate aus, denen Browser und Betriebssystem vertrauen.

So eine Certificate Authority könnte theoretisch für beliebige Webseiten Zertifikate ausstellen und sie irgend jemandem geben. Sie hat aber ein Interesse daran, das nicht zu tun, da sie sonst ziemlich schnell von den Listen der vertrauenswürdigen CAs fliegen würde. Und Vertrauen ist schließlich das einzige, was eine CA verkauft.

Es gibt sogenannte Certificate-Tansparency-Logs, oder kurz CT-Logs. In diesen werden alle ausgestellten TLS-Zertifikate gespeichert. Google betreibt so etwas zum Beispiel. In ihnen kann man nachsehen, welche Zertifikate von welcher CA für welche Webseite ausgestellt wurden. Und falls da ein Zertifikate für die eigene Webseite dabei ist, das man nie bestellt hat, ist irgend etwas komisch.

Nun könnte man auf die Idee kommen, alle Zertifikate aus CT-Logs in eine Datenbank zu werfen und sie ein wenig zu analysieren. Das ist auch das, was ich seit ca. 10 Monaten im Lab und auf der Arbeit mache.

Mit am interessantesten ist eine Grafik, die die Zahl der ausgestellten Zertifikate auf einer Zeitleiste darstellt.

(Die Zahlen im Diagramm sind alle nur Näherungswerte, da nicht das Ausstellungsdatum betrachtet wird, sondern der Zeitpunkt, ab dem das Zertifikat gültig ist. Außerdem werden nicht alle ausgestellten Zertifikate erfasst, und mindestens die letzten beiden Monate sind auch noch nicht vollständig erfasst.)

Wer erinnert sich noch an Heartbleed?

Wer erinnert sich noch an Heartbleed?

Die verschiedenen Farben in obigem Diagramm repräsentieren verschiedene Algorithmen, daher wollen wir sie an dieser Stelle ignorieren. Im April 2014 wurde der Heartbleed-Programmfehler bekannt. In der Folge musste der Großteil der existierenden TLS-Zertifikate praktisch ausgetauscht werden, da die Zertifikate durch den Fehler theoretisch unsicher waren. Das zeigt sich auch in einer Erhebung im Diagramm: Ein Anstieg der ausgestellten Zertifikate um ca. 50 % im Vergleich zum Vormonat! Dass das alles recht unspektakulär aussieht, liegt nur daran, was in den beiden Jahren danach passiert ist.

Schlüsseln wir das Diagramm nun nach den ausstellenden CAs statt nach den Algorithmen auf!

ct2

Was macht denn ein Festplattenverkäufer in diesem Diagramm?

Im September 2015 stellt Western Digital einfach mal so 380.000 Zertifikate aus. Und damit mehr als alle anderen CAs in diesem Monat. Kann man machen. Diese Zertifikate sind allerdings nicht für beliebige Webseiten, sondern für Subdomains von wd2go.com, also für den Webzugriff auf Western-Digital-Speichergeräte.

ct3

Player E has entered the arena

Im Dezember 2015 ging Let’s Encrypt in die offene Betaphase. Und füllte damit offenbar eine Lücke, in der es großen Bedarf nach kostenlosen TLS-Zertifikaten gab: Während die Entwicklung der übrigen Certificate Authorities sich nicht allzu stark veränderte, blähte Let’s Encrypt den Markt stark auf und wurde dadurch quasi Marktführer mit 1,6 Millionen erfassten Zertifikaten im Mai 2016. Zum Vergleich: Im November 2015, vor dem Start der öffentlichen Betaphase von Let’s Encrypt, wurden insgesamt nur 530.000 ausgestellte Zertifikate erfasst.

Das nenne ich mal disruptiv.

Spannend wäre noch, zu untersuchen, wie viele Webseiten zu Let’s Encrypt gewechselt sind. Ähnlich der Wählerwanderung bei Wahlen. Das kommt aber vielleicht noch.

  1. aus technischer Sicht nicht, aber die Infrastruktur hat sich dahin entwickelt und ist jetzt halt so.

Kinderquatsch reloaded

Als ich vor einem Dreivierteljahr eine Rolle Smarties® zählte, war das ganze recht unprofessionell, denn: Es fehlte eine Tabelle mit Zahlen. Und ohne Tabelle mit Zahlen, das ist klar, ist das ganze nicht wissenschaftlich.

Da auch die Reproduzierbarkeit bei wissenschaftlichen Untersuchungen sehr wichtig ist, erwarb ich im lokalen Einzelhandel eine weitere Rolle Smarties® und zählte wieder nach.

Ergebnisse

Die Beitragsentwicklung des Studierendenwerks Bonn in einer handlichen Grafik

Das Studierendenwerk Bonn wird demnächst den semesterlichen Beitrag um bis zu 10 € erhöhen1. Anlass genug, sich einmal mit der Geschichte der Beitragserhöhungen des Studierendenwerks Bonn zu beschäftigen.

Nach archäologischen Ausgrabungen in den amtlichen Bekanntmachungen der Universität Bonn und tiefgehender Analyse der zutage geförderten Dokumente entstand die folgende farbenfrohe Grafik.

stwbeitragsentwicklung

Was gibt es hierzu zu sagen? Beginnen wir in der Vergangenheit. Die älteste Beitragsordnung die ich fand ist von 1999, regelt aber die Beitragspflicht “ab Wintersemester 1991/92”. Damals zahlte man 50 Deutsche Mark im Semester für allgemeine Zwecke. Hinzu kamen wohl2 noch 50 Pfennig für die “Darlehenskasse der Studentenwerke im Lande Nordrhein-Westfalen e. V.”, 40 Pfennig für die “Unfallversicherung im Privatbereich” und zwei Deutsche Mark “für die Unterhaltung der Psychotherapeutischen Beratungsstelle des Studentenwerks”. Macht summa summarum 27,50 € im Zeitraum 1991 – 2000, wenn man der Ordnung denn glauben darf. Zum Wintersemester 2000/2001 gab es dann eine kleine Erhöhung um 10 DM auf 60 DM3.

Für das Wintersemester 2003/2004 wird vom Verwaltungsrat des Studierendenwerks im Dezember 2002 eine neue Beitragsordnung beschlossen. Diese setzt den Beitrag auf glatte 50 €4. Eine eher starke Steigerung – sollte der Beitrag in den 90ern aber tatsächlich neun Jahre lang gleich geblieben sein, war sie bestimmt gerechtfertigt.

In der Folge steigt der Beitrag alle zwei bis drei Jahre um etwa 10 €. Die Entwicklung von 2003 bis 2016 entspricht einer jährlichen Steigerung von 4,5 %. Zum Vergleich: Die durchschnittliche Inflation im Zeitraum 2003 bis 2014 in Deutschland lag bei lediglich 1,6 %. Falls ich mich nicht verrechnet habe natürlich5.

Ob man die neuerliche Erhöhung um 10 €6 nun gut findet oder nicht, dürfen alle für sich selbst beantworten. Auf jeden Fall bewegt sie sich im Rahmen dessen, was in den letzten Jahren üblich war7.

Beitragsordnungen und -sänderungen

  1. Quelle: Internet Verwaltungsrat. Und ja, bis zu 10 €.
  2. zumindest verstehe ich die Ordnung so
  3. plus die diversen Sonderabgaben für besondere Dinge.
  4. Das sind hundert Mark!
  5. Hast du etwa Prozentwerte gemittelt?!!! (Nein.)
  6. Ihr glaubt doch nicht ernsthaft, dass es weniger wird?
  7. Das haben wir schon immer so gemacht!!!