Dubiose Werbung zu unnĂĽtzen eIDAS-Zertifikaten

Einige Anbieter nutzen den Trubel um eIDAS-Zertifikate, um für unnötige und teure Zertifikate zu werben.

In Pocket speichern vorlesen Druckansicht 9 Kommentare lesen
Ein Laptop mit einem Schutzschild auf dem Bildschirm

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Von

Einige Zertifikatsanbieter nutzen Unsicherheiten in Bezug auf die kürzlich beschlossene Verordnung zu Electronic Identification, Authentication and Trust Services (eIDAS) der EU aus, um Kunden unnötige teure Zertifikate anzudrehen. Im Gesetzgebungsverfahren war bis zuletzt umkämpft, ob Webbrowser wie Chrome, Edge, Firefox, Opera und Safari zur Anerkennung bestimmter qualifizierter Zertifikate zur Webseiten-Authentifizierung gezwungen werden.

Diese sogenannten Qualified Website Authentication Certificates (QWACs) bedingen die Verankerung staatlicher Root-Zertifikate in den Webbrowsern. Das ist durchaus kritisch zu betrachten, insbesondere wenn Browser nicht die rechtliche Freiheit haben, solche Zertifikate abzulehnen: So hat die Regierung Kasachstans etwa ihren Bürgern 2020 ein solches Zertifikat aufgedrängt, um ihren Datenverkehr mitlesen zu können. In der ratifizierten Version haben die EU-Gesetzgeber nach massiver Kritik von Wissenschaftlern und Bürgerrechtlern Passagen eingefügt, nach denen die etablierten Sicherheitsregeln und -standards der Branche eingehalten werden können. Diese Klarstellungen finden sich zwar maßgeblich nur in den Erwägungsgründen und nicht im eigentlichen Gesetzestext, stellten deutliche Kritiker wie beispielsweise Mozilla aber weitgehend zufrieden. Weitgehend dürfte für Browserhersteller und Nutzerinnen und Nutzer also alles beim Alten bleiben.

Zertifikatsanbieter freut das kaum, sie wollen naturgemäß Zertifikate verkaufen, um Geld zu verdienen. Kostenlose Zertifikate, insbesondere von Let's Encrypt, haben dieses Geschäftsmodell massiv eingeschränkt und QWACs könnten es wieder aufleben lassen. Einige Anbieter sind allerdings nicht ganz sauber bei ihrer Werbung. heise online liegt eine E-Mail eines Anbieters vor, in der dieser Unsicherheiten auf dem rechtlichen Terrain für seine Zwecke nutzen will.

Da heißt es etwa: "Wie Sie vielleicht bereits wissen, hat die EU einen Rechtsrahmen eingeführt, der als eIDAS bekannt ist". Um dann fortzufahren: "Wenn Sie noch nicht auf eIDAS umgestellt haben, kann die Umstellung im Alleingang ein wenig Kopfzerbrechen bereiten ... aber genau dabei können wir Ihnen helfen! Wir wollen sicherstellen, dass Sie die lokalen Vorschriften einhalten."

Da sich jedoch in diesem Belang nichts geändert hat, sind gar keine Umstellungen nötig. Webseitenbetreiber können weiterhin auf kostenlose Zertifikate setzen; eIDAS-Zertifikate liefern keine nachvollziehbaren Vorteile. Um es deutlich zu formulieren: Diese eIDAS-Zertifikate, die nun beworben werden, verursachen lediglich Aufwand und Kosten, liefern jedoch für das Gros der Serverbetreiber keinerlei zusätzlichen Nutzen.

(dmk)