Extended Validation: Browser wollen teure Zertifikate nicht mehr hervorheben

0
8

Sogenannte Extended-Validation-Zertifikate führten bisher dazu, dass in Browsern der Firmenname vor der Adresszeile angezeigt wurde. Chrome und Firefox schaffen das jetzt ab, da kaum etwas darauf hindeutet, dass damit die Sicherheit erhöht wird.

Artikel
veröffentlicht am
12. August 2019, 14:15 Uhr,
Hanno Böck

Sie sollen mehr Sicherheit bringen, Kritiker halten sie vor allem für Geldmacherei: Sogenannte Extended-Validation-Zertifikate.
(Bild: Christopher Hollis, Wikimedia Commons)

Dieser Schritt dürfte Zertifizierungsstellen nicht gefallen: Sowohl die Entwickler von Chrome als auch die von Firefox haben angekündigt, künftig sogenannte Extended-Validation-Zertifikate nicht mehr optisch in der Adresszeile hervorzuheben. Bisher wird bei HTTPS-Verbindungen mit solchen Zertifikaten der Firmenname in Grün angezeigt. Ob das etwas in Sachen Sicherheit bringt, ist zweifelhaft.

Stellenmarkt

  1. AKDB, Regensburg
  2. Berliner Stadtreinigungsbetriebe (BSR), Berlin

Wer ein Webseitenzertifikat kauft, hat dabei heute meist die Wahl zwischen verschiedenen Varianten. Bei sogenannten Domain-Validation- oder DV-Zertifikaten wird lediglich überprüft, ob der Antragsteller die Domain auch tatsächlich kontrolliert. Bei Organization Validation (OV) und bei Extended Validation (EV) kann in das Zertifikat der Name einer Firma und deren Adresse eingetragen werden. Zumindest theoretisch sollte die Zertifizierungsstelle die eingetragenen Daten dabei sorgfältig prüfen, etwa anhand von Gewerbeanmeldungen.

Bisher: Firmenname wird in Grün vor der Adresszeile angezeigt

OV-Zertifikate sind schon bisher im Browser kaum von normalen DV-Zertifikaten zu unterscheiden. Um überhaupt zu sehen, dass dort zusätzliche Daten eingetragen sind, muss man die entsprechenden Details des Zertifikats aufrufen, was kaum ein normaler Nutzer tun dürfte. Anders war das bisher bei EV-Zertifikaten: Hier wird vor der Adresszeile in einem Balken der Firmenname in Grün angezeigt.

In der Krypto- und IT-Sicherheitscommunity gibt es schon lange skeptische Stimmen zu dieser Hervorhebung. Denn zusätzliche Sicherheit bringt das Ganze nur, wenn Nutzer diese Extra- auch wahrnehmen. Dafür spricht wenig. So hatten einige namhafte Webseiten in der Vergangenheit Extended-Validation-Zertifikate genutzt und dann wieder abgeschafft und kaum jemand hat es bemerkt. Zu den ehemaligen EV-Nutzern gehören etwa Facebook und Twitter.

Zertifikate für Stripe – aber nicht für den bekannten Zahlungsdienstleister

Für weitere Zweifel an der Sinnhaftigkeit sorgte der IT-Sicherheitsspezialist Ian Carroll: Er registrierte sich ein Extended-Validation-Zertifikat für die Firma “Stripe Inc”. Dabei handelte es sich aber nicht um den bekannten Zahlungsdienstleister Stripe. Carroll hatte zuvor selbst eine Firma mit demselben Namen im US-Bundesstaat Kentucky angemeldet – weil dort die Anmeldung von Firmen besonders einfach ist.

Carrolls Zertifikat wurde anschließend von der Zertifizierungsstelle Comodo (heute Sectigo) zurückgezogen. Dafür gab es aber eigentlich keinen Grund. Carroll hatte das Zertifikat völlig zu Recht erhalten.

Es gibt zudem eine Reihe von Beispielen, bei denen sich zeigte, dass Zertifizierungsstellen offenbar bei der Prüfung der Inhalte von EV-Zertifikaten nicht besonders sorgfältig vorgehen. So wurden in der Vergangenheit diverse Zertifikate ausgestellt, in denen bei der Firmenadresse “Default City” als Ort eingetragen war.

Diese Diskussionen haben die Entwickler von Firefox und Chrome dazu bewogen, die Sonderbehandlung von EV-Zertifikaten größtenteils zu beenden. Der in Grün angezeigte Firmenname fällt weg, nur wer auf das Schlosssymbol im Browser klickt, erhält weiterhin den Firmennamen des Zertifikats angezeigt. Schon vorher hatte Safari einige Änderungen bei der vorgenommen.

EV-Zertifikate bringen Zertifizierungsstellen viel Geld ein

Für viele Zertifizierungsstellen sind das schlechte Nachrichten, denn Extended-Validation-Zertifikate bringen viel Geld ein. Durch das Aufkommen von kostenlosen Zertifizierungsstellen wie Let’s Encrypt sind die Preise für gewöhnliche DV-Zertifikate immer weiter gesunken. EV-Zertifikate hingegen kosten mehrere hundert Euro.

Für immer mehr Kunden dürfte sich die Frage stellen, warum sie überhaupt für Zertifikate Geld ausgeben. Denn es gibt kaum technische Unterschiede zwischen den verschiedenen Zertifikatstypen. Mit Premiumprodukten wie Extended Validation versuchen Zertifizierungsstellen, den Eindruck zu erwecken, dass man für bestimmte Zwecke teurere Zertifikate benötigt, obwohl kostenlose Zertifikate, etwa von Let’s Encrypt, in Sachen Verschlüsselung dasselbe Sicherheitsniveau bieten.