Report: SSL-Zertifikate nicht immer vertrauenswürdig
Operas neue Sicherheitsfunktion zur Anzeige von Zertifikatsinhalten könnte Anwender in falscher Sicherheit wiegen. Nicht alle Herausgeber prüfen die Inhalte ausreichend, sodass etwa Phisher-Seiten mit falschen Angaben als vertrauenswürdig erscheinen.
Operas jüngste Version wartet mit einer Sicherheitsfunktion auf, die Anwender besser erkennen lassen soll, ob sie sich eventuell auf einer Phishing-Seite befinden. So blendet der Browser bei SSL-gesicherten Verbindungen nicht nur das Schloßsymbol ein, sondern zeigt sogar noch Inhalte des SSL-Zertifikats an. Andere Browser zeigen bei gültigen Zertifikaten nur das Schloß an. Für weitere Hinweise, etwa von wem das Zertifikat stammt oder von wem es ausgestellt wurde, muss der Anwender selbst den Inhalt aufrufen.
Nach Meinung von Geotrust, einem der weltweit größten Herausgeber digitaler Zertifikate, könnte Operas neue Funktion aber den Anwender in falscher Sicherheit wiegen. Der Browser zeigt nämlich ausgerechnet den Teil eines Zertifikats an, dessen Inhalt von vielen Herausgebern bei der Antragstellung nicht sorgfältig genug überprüft wird. Zertifikate enthalten neben dem Server-Namen (Common Name - CN) auch Angaben des Antragsteller (Organisation - O, Abteilung - OU und Land -C), die zusammgefasst den eindeutigen Distinguished Name (DN) ergeben. Opera 8 zeigt nun zusätzlich die Organisation (O) an, die sich etwa von Phishern durch Vortäuschung falscher Tatsachen bei einer Certification Authority (CA) beliebig formulieren lässt.
Geotrust hat dazu auf seinen Seiten drei Demos veröffentlicht, die dieses Problem veranschaulichen. Dem Opera-Nutzer wird ein zur Seite passender Zertifikatsinhalt präsentiert, der ihn glauben lässt, auf der richtigen Seite zu sein -- obwohl eigentlich der Domain-Name nicht stimmt. Dazu trägt auch bei, dass vielen Anwender die Funktion eines Zertifiktes nicht bewußt ist: Ein Zertifikat bindet einen öffentlichen Schlüssel nämlich nur an eine Identität. Ob die dahintersteckende Person oder Firma vertrauenswürdig ist, bleibt offen.
Anwender sollten also bei Seiten, die vertrauliche Daten abverlangen, auch weiterhin aufmerksam sein -- insbesondere wenn ein Link in einer Mail sie dorthin geführt hat. Derzeit ist nur der Common Name, also der Server-Name, im Zertifikat vor Manipulation geschützt. Die Ursache des Problems hat Geotrust indes auch bereits ausgemacht. So bemängelt der Dienstleister in seinem Report den laxen Prüfungsprozess vieler anderer Zertifizierungstellen und insbesondere deren Subunternehmer und Reseller -- ohne allerdings Namen zu nennen. Mittlerweile könne man nicht mehr allen CAs vertrauen. Zukünftig werde es wahrscheinlich Empfehlungen geben, welche CA kritische Prüfungen durchführe. Anwender sollten dann nicht nur darauf achten für wen ein Zertifikat ausgestellt ist, sondern auch von wem.
Siehe dazu auch: (dab)
- Vulnerability of First-Generation vetted digital certificates and the potential for phishing attacks, Whitepaper von Geotrust
