DSIN wirbt für sicherere Server - und schlampt beim eigenen

Microsoft und Teletrust sagen dem Phishing im Namen von "Deutschland sicher im Netz" den Kampf an und werben für die teuren Extended Validation Zertifikate. Die PR-Aktion zeigt dann auch gleich am eigenen Beispiel, wie man es nicht machen sollte.

In Pocket speichern vorlesen Druckansicht 140 Kommentare lesen
Lesezeit: 3 Min.

Im Rahmen der Inititative "Deutschland sicher im Netz" starten Teletrust und Microsoft eine Werbeaktion für sogenannte Extended Validation (EV) Zertifikate. Unter dem Motto "Grünes Licht für sicherere Online-Services" will man eine Service-Anlaufstelle für EV-Zertifikate einrichten, um "Website-Betreiber über Mehrwert und Einführung von EV-Zertifikaten aufzuklären und zu beraten". Außerdem will man über "die musterhafte Umsetzungen dieser Sicherheitsmechanismen bei Betreibern kommerzieller Webseiten" informieren.

Dass hinsichtlich der richtigen Umsetzung von Sicherheitsmaßnahmen tatsächlich Informationsbedarf besteht, sieht man auf den ersten Klick. Wer die Seiten der PR-Initiative Deutschland sicher im Netz mit einem Nicht-Microsoft-Browser aufruft, erhält oft eine Warnung, wie man sie auch auf Phishing-Seiten antreffen könnte – nämlich dass der Browser die Identität von "www.sicher-im-netz.de" nicht überprüfen konnte. Dabei hat man durchaus den richtigen Server erwischt.

Die Warnung kommt daher, dass der DSIN-Server zwar ein signiertes EV-Zertifikat ausliefert, nicht aber die notwendigen Intermediate-Zertifikate, mit denen der Browser die Unterschrift auf eine der gespeicherten Root-CAs zurück verfolgen kann. Dabei hätte DSIN nur beim Herausgeber Verisign spicken müssen. Die verwenden nämlich ein vergleichbares Zertifikat, übermitteln aber auch die Zwischenzertifikate, mit denen dann auch Firefox, Opera & Co die Unterschrift überprüfen können. Nur im Windows-Zertifikatsspeicher sind diese Zwischenzertifikate bereits gespeichert, sodass Internet Explorer deren Unterschrift direkt anerkennt. Mit solchen Schlampereien im Umgang mit Zertifikaten erweisen Firmen seit Jahren der Sicherheit einen Bärendienst, weil viele Anwender es schon gewohnt sind, derartige Fehlermeldungen regelmäßig wegzuklicken.

EV-Zertifikate sind ganz normale X.509-Zertifikate, wie sie bereits seit Jahren für die Authentifizierung und Verschlüsselung von SSL-Verbindungen eingesetzt werden. Lediglich die Zertifizierungsinstanz betreibt bei der Überpüfung mehr Aufwand und lässt sich diesen natürlich auch dementsprechend honorieren. Sprich: Die Zertifikate sind deutlich teurer als herkömmliche SSL-Zertifikate. Dafür beruhigt dann der Internet Explorer 7 potenzielle Kunden mit einer grün leuchtenden Adresszeile.

Ob sich damit, wie von Microsoft und Teletrust behauptet, tatsächlich Phishing bekämpfen lässt oder es nicht vielmehr darum geht, am lukrativen Online-Geschäft legal mit zu verdienen, darf man bezweifeln. So kam eine Studie (PDF-Datei) der Stanford University und Microsoft zu dem Ergebnis, dass insbesondere ungeschulte Anwender die EV-Kennzeichnung beziehungsweise deren Fehlen nicht bemerkten und in den Tests nicht besser abschnitten als eine Gruppe, deren Browser ganz auf dieses Feature verzichtete. (ju)