Erweitertes SSL-Verfahren in den Startlöchern

Auf der kommenden RSA-Konferenz will Microsoft einen Zwischenstand zum neuen Zertifizierungsprozess Extended Validation Secure Sockets Layer geben (EV-SSL). EV-SSL soll auf Phishing-Seiten aufmerksam machen, wobei neben dem üblichen SSL-Zertifikat noch ein weiteres Zertifikat vom Internet Explorer 7 abgefragt wird. Nur mit den erweiterten neuen Zertifikaten, die Webseitenbetreiber natürlich bei einer der Zertifizierungsstellen wie Geotrust, Verisign, Identrus, Comodo, Cybertrust oder Entrust kaufen müssen, gibt der Internet Explorer 7 buchstäblich grünes Licht: Die Adressleiste wird grün hinterlegt und es wird das Land angezeigt, in dem der Server steht. Wenn kein Zertifikat übertragen wird, bleibt die Leiste weiß. Bei ungültigen Zertifikaten leuchtet sie rot.

Kern des neuen Zertifikatstandards ist eine strengere Vergabepraxis (PDF-Dokument) und genauere Prüfungen der Zertifizierungsstelle. Insbesondere soll die Überprüfung der Identität des Zertfikatsantragsstellers durch die Zertifizierungsstelle strenger werden. In der Vergangenheit hatte sich gezeigt, dass es relativ leicht ist, mit einer gefälschten Identität an ein gültiges SSL-Zertifikat zu gelangen. Gerade die Bindung einer Identität an einen öffentlichen Schlüssel soll ein Zertifikat aber versichern.

Damit das neuen Verfahren breite Akzeptanz findet, müssen zumindest alle wichtigen Webseiten ein EV-SSL-Zertifikat aufweisen können. Verisign bietet seit Dezember die neuen Zertifikate an, 300 Unternehmen stehen derzeit in der Liste der Antragssteller. Nur 20 haben schon ein EV-SSL-Zertifikat erhalten, darunter soll auch Paypal sein. Noch sind einige technische Probleme mit EV-SSL nicht gelöst, weshalb etwa die Firefox-Entwickler das neue Verfahren erst in Version 3 ihres Browsers integrieren wollen.

Ob EV-SSL überhaupt Anklang findet, ist sehr fraglich. Grundsätzlich ließe sich durch die Verbesserung der Identitätsprüfung in der herkömmlichen SSL-Zertifikatsvergabepraxis das gleiche Ziel erreichen. Kleinere Webseitenbetreiber dürften sowieso kaum gewillt sein, Geld für ein weiteres Zertifikat auszugeben. Verisign etwa will 1200 Euro für ein Zertifikat, das ein Jahr lang gültig ist. Zudem schützt auch das neue Verfahren beispielsweise nicht vor Phishing per Cross-Site-Scripting, bei dem gefälschte Inhalte in eine echte Seite eingeblendet werden.

Der bisherige Umgang von Anwendern mit fehlerhaften SSL-Zertifikaten lässt Zweifel daran aufkommen, ob sich der Anwender mit EV-SSL vor Phishing-Angriffen besser schützen lässt – bislang werden Warnmeldungen in den meisten Fällen einfach ignoriert und weggeklickt, wozu leider oft auch abgelaufene Zertifikate von Anbietern beitragen. In den meisten Fällen prüfen die Anwender nicht einmal, ob die Verbindung überhaupt per SSL gesichert ist. Dass sich dies nun ändern wird, ist eher unwahrscheinlich. Ohnehin arbeitet kaum eine Phishing-Seite mit SSL-Zertfikaten. (dab)