Verschlüsselung im Internet

Wie sicher sind SSL-Zertifikate mit Identitätsnachweis

21.05.2019
Von 


Dr. Kim Nguyen studierte Mathematik und Physik. Im Jahre 2001 wurde ihm von der Universität/GH Essen der Doktortitel in reiner Mathematik verliehen. Von 2001-2003 war er bei Phillips Semiconductors (jetzt NXP Semiconductors) in Hamburg beschäftigt. Seit 2004 ist er bei der Bundesdruckerei GmbH in Berlin tätig und im Juni 2012 hat er die Geschäftsführung der Bundesdruckerei Tochter D-TRUST GmbH übernommen. Zusätzlich ist der Autor seit 2019 Geschäftsfeldleiter des Bereichs Trusted Services bei der Bundesdruckerei GmbH.
SSL-Zertifikate verschlüsseln die Webseiten-Kommunikation und können Informationen über den Domain-Inhaber enthalten. Doch lassen sich Identitäten von Websites überhaupt feststellen? Welchen Mehrwert bieten SSL-Zertifikate mit Identitätsnachweis tatsächlich?

Der Datendiebstahl über manipulierte Webseiten gehört zu den größten Sicherheitsbedrohungen im Internet. Allein zwischen Mitte März und Mitte April 2018 ermittelte ein US-Forscherteam über 170.000 sogenannte Phishing-Webseiten (PDF). Über eine E-Mail werden Internetnutzer auf eine Webseite gelockt und dazu verleitet, persönliche Daten oder Passwörter einzugeben. Die Webseite, auf die verlinkt wird, sieht einer vertrauenswürdigen Seite, zum Beispiel der einer Bank oder eines E-Commerce-Anbieters, meist zum Verwechseln ähnlich.

Viele Borwser-Hersteller verzichten mittlerweile darauf, verschlüsselte Verbindungen eindeutig zu kennzeichnen, da es zum Standard geworden sei.
Viele Borwser-Hersteller verzichten mittlerweile darauf, verschlüsselte Verbindungen eindeutig zu kennzeichnen, da es zum Standard geworden sei.
Foto: Fascinadora - shutterstock.com

Der Unterschied liegt in der Identitätsprüfung

Secure-Sockets-Layer (SSL)-Zertifikate sind ein Instrument, um diesen Missbrauch einzudämmen. Sie ermöglichen einen verschlüsselten Datentransfer zwischen dem Computer des Internetnutzers und Webseiten. Zusätzlich können SSL-Zertifikate über den Besitzer der Webseite informieren. Je nach Sicherheitsniveau lassen sich drei Zertifikatstypen unterscheiden.

  • Bei der einfachen Domain-Validierung (DV) bestätigt das SSL-Zertifikat, dass die jeweilige Domain und das Zertifikat eine Einheit bilden. Es wird keine Aussage über den Inhaber der Domain oder der Webseite getroffen.

  • Anders bei den organisationsvalidierten Zertifikaten (Organization Validation, OV). Hier muss der Domain-Inhaber seine Identität gegenüber einer dritten, unabhängigen Instanz nachweisen. Dies geschieht im Unternehmensumfeld in der Regel durch Vorlage eines Handelsregisterauszugs oder eines Gewerbenachweises.

  • Das höchste Sicherheitsniveau bieten sogenannte erweitert validierte Zertifikate (Extended Validation, EV). Zusätzlich zum Domain-Check und zur Organisationsvalidierung erfordern sie einen individuellen Identitätsnachweis des Antragstellers. Dabei wird geprüft, ob diese Person tatsächlich bei der Organisation angestellt ist und ein EV-Zertifikat erwerben darf.

Entsprechend enthalten OV- und EV-Zertifikate konkrete Informationen über den Besitzer der Webseite und darüber, welche Ausgabestelle die Angaben verifiziert hat. Auch visuell konnten Internetnutzer bisher eindeutig erkennen, ob eine Webseite identitätsgeprüft ist. Sichtbar war dies an der Kombination aus grünem Vorhängeschloss und grünem Unternehmensnamen in der Adresszeile des Browsers.

Was Sie über SSL-Zertifikate wissen müssen (klick = Grafik vergrößern)
Was Sie über SSL-Zertifikate wissen müssen (klick = Grafik vergrößern)
Foto: Bundesdruckerei GmbH

Browser kennzeichnen Verschlüsselung nicht mehr

Google und andere Browser-Hersteller haben visuellen Hinweise über die Verschlüsselung der Verbindung kürzlich abgeschafft. Begründet wird dieser Schritt damit, dass verschlüsselte Webseiten immer mehr zum Standard werden. Das Internet sei "standardmäßig" sicher (safe by default). Deshalb sei es nicht mehr notwendig, auf die SSL-Verschlüsselung hinzuweisen, sondern nur noch auf ihr Fehlen.

Google Chrome zum Beispiel warnt vor unverschlüsselten Webseiten mit dem Hinweis "Nicht sicher". Verschlüsselte Webseiten sind jetzt durch ein graues Vorhängeschloss gekennzeichnet. Zwischen den verschiedenen Stufen des Identitätsnachweises wird kein Unterschied mehr gemacht. Bei OV- und EV-Zertifikaten in der Browser-Darstellung fehlt die Positivfarbe Grün ebenso wie der Unternehmensname in grüner Schrift.

Skeptiker von identitätsgeprüften Zertifikaten verweisen zum einen auf deren geringe Verbreitung. Ihr Anteil an den weltweit ausgestellten SSL-Zertifikaten beträgt knapp sechs Prozent. Zum anderen wird bezweifelt, dass ein sicherer Identitätsnachweis von Webseiten möglich ist. Einem britischen Sicherheitsforscher ist es beispielsweise gelungen, für ein nicht existierendes Unternehmen ein Zertifikat mit Identitätsnachweis zu erhalten. Ein amerikanischer Sicherheitsforscher bekam ein EV-Zertifikat auf einen bereits existierenden Unternehmensnamen ausgestellt. Die Namenskollision wurde bei der Verifizierung nicht bemerkt. Beide EV-Zertifikate hätten für Phishing-Zwecke genutzt werden können.

Sicherheitsvorfälle bei SSL-Zertifikaten

Haben identitätsgeprüfte Zertifikate damit ihren Wert verloren und keine Zukunft mehr? Nein, denn von den 170.000 entdeckten Phishing-Webseiten des amerikanischen Forscherteams waren 6.020 mit SSL-Zertifikaten ausgestattet. Lediglich elf gefälschte Webseiten besaßen ein identitätsgeprüftes OV- oder EV-Zertifikat, das ist ein Anteil von 0,2 Prozent. Die restlichen 99,8 Prozent (6.009 Phishing-Webseiten), enthielten ein DV-Zertifikat ohne Identitätsprüfung. Identitätsgeprüfte Webseiten sind also oft sicherer, als solche ohne Identitätsnachweis.

Browser-Hersteller in der Pflicht

Laut einer Umfrage des Marktforschungsinstituts Forrester (PDF) unter 105 IT-Entscheidern, wünschen sich Unternehmen eine eindeutige Darstellung von identitätsgeprüften Webseiten im Browser-Interface. Auf die Frage, welche Funktionen SSL-Zertifikate für die eigene Unternehmenswebseite bieten sollen, antworten 93 Prozent der Befragten, dass die bestätigte Organisationsidentität für Kunden klar erkennbar sein müsse. Dafür sind nach Meinung der Befragten auch die Browser-Hersteller verantwortlich. Für 88 Prozent sollten Webseiten mit und ohne Identitätsprüfung unterschiedlich im Browser-Interface angezeigt werden.