GlobalSign Blog

31 Aug 2018

CAs arbeiten an der Verbesserung der Identitätssicherung

Wir müssen wissen, mit wem wir online interagieren - wer dieses Dokument elektronisch signiert hat, wer diese E-Mail wirklich gesendet hat, wer hinter dieser Seite steckt, bei der ich mich gerade einlogge. Die Zusicherung, zu wissen, dass derjenige, mit wem wir interagieren, tatsächlich derjenige ist, der er vorgibt zu sein, war nie nötiger.

Seit Jahren sind EV SSL/TLS-Zertifikate - d. h. Zertifikate, die nicht nur die Browser-Server-Verbindung verschlüsseln, sondern auch die verifizierte Identität des Betreibers der Website enthalten - eine Möglichkeit, dieses Problem zu beheben, eine Möglichkeit, die Identität hinter der Website zu zeigen. Um diese Art von "Identitätszertifikat" zu erhalten, muss der Inhaber der Domain einen strengen Überprüfungsprozess durchlaufen, der nicht nur verifiziert, dass er die Kontrolle über die Domain besitzt, sondern auch Informationen über die Identität des Unternehmens, wie registrierter Name, betriebliche Existenz, physischer Standort und mehr, überprüft. Wenn eine Website ein EV-Zertifikat verwendete, wurde erwartet, dass die Website tatsächlich von dieser Firma betrieben wurde und Besucher der Website konnten sehen, wer sich hinter der Website verbarg (wenn sie wussten, wo sie suchen mussten, was ich später in diesem Artikel behandle).

Aber nichts ist perfekt, und Anfang dieses Jahres kamen einige Vorfälle ans Licht, die Schwachstellen im EV-System herausstellten, sowohl bei den Verifizierungsprozessen als auch bei der Anzeige der Identitätsinformationen, die zum Erwerb von EV-Zertifikaten genutzt werden konnten, um Besucher irrezuführen. Wir haben diese Vorfälle in einem früheren Post besprochen und auch, warum wir glauben, dass EV immer wertvoll sein wird. Verifizierte Unternehmensinformationen für Website-Besucher zur Verfügung zu haben und wo es Verbesserungspotenzial bei allen Beteiligten gibt (sowohl CAs wie wir und die Browser, die die Benutzeroberfläche steuern), wird immer wertvoll sein.

Ich werde diese Argumente hier nicht wiederholen. Stattdessen möchte ich einige der Verbesserungsbemühungen vorstellen, die wir mit unseren Kollegen des CA Security Council (CASC) unternommen haben. Des Weiteren möchte ich einige weitere Diskussionspunkte dazu aufzeigen, wie diese Identitätsinformationen von Website-Besuchern genutzt werden können.

Wie das London Protocol die Identitätssicherung verbessert

Fünf CAs des CA Security Council haben kürzlich das London Protocol ins Leben gerufen, eine mehrstufige Initiative zur Verbesserung der Identitätssicherung und Minimierung von Phishing auf Identitätswebsites durch verstärkte Kommunikation zwischen CAs, verbesserte Identitätsvalidierung und größere Unterstützung für Kunden, deren Websites kompromittiert wurden.

Beginnen wir mit dem proaktiven Teil, bei dem wir verhindern wollen, dass böswillige Akteure überhaupt Identitätszertifikate für Phishing-Websites erwerben. Dies ist natürlich der ideale Ansatz - stoppen wir dieses Problem, bevor es überhaupt beginnt. Zu diesem Zweck überdenken die Mitglieder des London Protocol, wie wir Unternehmen validieren, bevor Zertifikate ausgestellt werden.

Überprüfungsverfahren für Unternehmen sind bereits streng durch die Baseline Requirements des CA/Browser-Forums geregelt. Aber das CASC erprobt zusätzliche Maßnahmen, die den Erwerb von Identitätszertifikaten für bösartige Zwecke erschweren. Ein Hauptbestandteil davon wird eine verstärkte Kommunikation zwischen den Mitglieds-CAs über verdächtige Bestellungen sein - im Grunde genommen, einander zu warnen, wenn wir auf etwas "phishiges" stoßen. Wir hoffen, dass dies "CA Shopping" verhindern wird, bei dem ein Phisher bei allen CAs Anträge stellt, in der Hoffnung, irgendwo durch die Maschen zu schlüpfen. Ein weiteres Element beinhaltet mehr Nachforschungen über den Antragsteller. Dazu gehören die Untersuchung, ob seine Firmeninformationen, Firmenkontakte oder Domains in seiner Zertifikatsanforderung wg. Phishing markiert wurden, was darauf hinweisen könnte, dass diese Person ein Wiederholungstäter ist.

Die Mitglieds-CAs planen auch einen praxisorientierteren Ansatz, um Kunden beim Umgang mit Phishing-Aktivitäten auf Websites zu unterstützen, die bereits Identitätszertifikate verwenden (z. B. wenn ein Unterverzeichnis gehackt und der Inhalt verändert wurden, um ihn für Phishing zu verwenden). Wir haben ein neues Portal entwickelt, das Warnungen von einer Vielzahl von Phishing-Warndiensten (z. B. Google Safe Browsing, Anti-Phishing Working Group usw.) erfasst und uns benachrichtigt, wenn ein von uns ausgestelltes Zertifikat mit einer kompromittierten Site verknüpft ist. Wir können dann den Kunden benachrichtigen und mit ihm daran arbeiten, die Situation zu beheben (Hinweis: Wir werden das Zertifikat nicht automatisch widerrufen, nur weil es markiert ist).

Was die Umsetzung dieser Änderungen betrifft, ist die erste Phase des London Protocol im Wesentlichen ein Probelauf. Die teilnehmenden CAs werden die Konzepte in ihre Richtlinien und Verfahren integrieren und dann die Änderungen in der zweiten Hälfte dieses Jahres weiter verfeinern und standardisieren. Feedback und Empfehlungen aus verbesserten Sicherheitsüberprüfungen werden dann dem CA/Browser-Forum als mögliche Änderungen der Baseline Requirements und EV-Richtlinien präsentiert.

Eine letzte Anmerkung zum London Protocol. Mir ist klar, dass nichts perfekt ist und diese Verbesserungen dem Phishing auf Identitätswebseiten nicht auf magische Weise ein Ende bereiten werden. Wir haben es schon einmal gesagt und wir sagen es noch einmal - EV-Zertifikate allein können und werden Phishing kein Ende bereiten - aber ich verspreche mir viel von den Verbesserungen, die wir vornehmen. Ich denke, die letzten Monate haben einige Lücken in unserem System (und mit "unserem" meine ich sowohl CAs als auch Browser) aufgedeckt und es ist mir wichtig, dass wir aktive Schritte unternehmen, sie zu schließen.

Verbesserungsbedarf überall - Die Rolle von Browser-Vorgehensweisen und wie Identitätsinformationen angezeigt werden

Dies bringt mich zu meinem nächsten Punkt, und meiner Meinung nach sollte dies ein Schlüsselelement dieser Diskussion sein. Die CAs arbeiten daran, unsere Validierungsverfahren zu verbessern, damit Besucher Identitätswebsites vertrauen können. Aber das ist alles umsonst, wenn diese Identitätsinformationen für Besucher der Website nicht zugänglich sind oder diese nicht wissen, was sie bedeuten. Ich würde gerne Diskussionen von der Browserseite her über die Benutzeroberfläche und wie Zertifikatinformationen präsentiert werden erleben. Ich sehe hier zwei Hauptbereiche für Verbesserungen:

  • Standardisierung - derzeit verfolgt jeder Browser einen anderen Ansatz, wie er Zertifikatinformationen anzeigt. Und es ist nicht ungewöhnlich, dass sich dieses Aussehen bei neuen Versionen ändert. Ich weiß, dass jeder Browser seine eigenen Methoden und Branding-Ansätze hat. Daher erwarte ich nicht, dass die Praxis bei allen jemals identisch sein wird. Ich denke, wenn wir wollen, dass Website-Besucher diese Identitätsinformationen nutzen, wären eine hohe Konsistenz der Informationen, die angezeigt werden, und die Art und Weise, in der Besucher zusätzliche Details anzeigen können, sehr hilfreich.
  • Welche Informationen werden angezeigt? - In den meisten Browsern zeigen EV-Zertifikate den Namen des registrierten Unternehmens und das Land an. Aber sind das die besten Informationen, die angezeigt werden können? Sind sie abgestuft genug? Was, wenn mehrere Instanzen eines Firmennamens im selben Land existieren? Hilft auch die Anzeige des Landes, in dem das Unternehmen registriert ist, irgend jemandem? Wissen Benutzer überhaupt, was dieses Länderkürzel bedeutet? Es verschlingt wertvollen Platz. Könnte es stattdessen durch etwas Hilfreicheres ersetzt werden?

Gibt es zudem noch andere Möglichkeiten, zwischen Websites mit Identitätsinformationen und solchen ohne zu unterscheiden? Seit Jahren verlassen wir uns darauf, grundlegende Informationen (d. h. Firmenname und Land) in die Adressleiste hinein zu bugsieren. Aber sollte man nicht eine andere Vorgehensweise in Betracht ziehen? Vielleicht etwas, das etwas auffälliger oder für nicht-technische Benutzer einfacher zu verstehen ist?

Ich denke, wir sind uns alle einig, dass Besucher einer Website eine Möglichkeit brauchen, zu verifizieren, wer die Website betreibt. Ich denke, dass Identitätszertifikate dabei eine Rolle spielen können. Ich freue mich, mit meinen Kolleginnen und Kollegen im London Protocol daran zu arbeiten, unsere Verfahren zu verbessern und die Verwendung dieser Zertifikate für schädliche Zwecke zu erschweren.

Ich freue mich auch auf zukünftige Diskussionen im CA/Browser-Forum darüber, welche weiteren Verbesserungen wir sowohl auf der CA- als auch auf der Browser-Seite vornehmen können, um Besuchern der Website Identität leichter zugänglich zu machen. Wie beispielsweise Ryan Hurst kürzlich herausstellte, sind CAs gut darin, Informationen zu verifizieren. Und die derzeit in Zertifikaten verwendeten Informationen (z. B. registrierter Firmenname, Standort) können für Verbraucher sehr hilfreich sein, falls sie beispielsweise das Unternehmen wg. rechtlicher Schritte kontaktieren müssen. Während dies ein spezifisches Beispiel ist, stellt sich die größere Frage, ob wir diese Informationen außerhalb des Umfangs von TLS verwenden sollten, um den Besuchern der Website einen Mehrwert zu bieten.  Dies ist eine spannende Frage für mich, und da die Notwendigkeit, zu wissen, mit wem wir online interagieren, von Tag zu Tag zunimmt, freue ich mich darauf, mich mit meinen Branchenkollegen darin zu vertiefen.

Artikel teilen