GlobalSign Blog

27 Mär 2018

Warum EV SSL nicht mehr wegzudenken ist

Als wenn der Titel nicht schon Hinweis genug wäre, handelt dieser Blog von der jüngsten Debatte über den Wert von EV SSL, das die Branche für Informationssicherheit im Sturm erobert hat. Ich denke, es ist an der Zeit, dass GlobalSign seine Meinung dazu abgibt und wir unsere Position als Anbieter von EV SSL-Zertifikaten verteidigen. Wenn Sie nicht hinter dem Mond gelebt haben, wissen Sie, dass einige Wissenschaftler Artikel über die Bedeutung von EV veröffentlicht haben.

Scott Helme veröffentlichte einen Artikel, der zeigt, wie der Firmenname in der URL-Leiste manchmal Verwirrung stiften kann. Der Artikel erschien, nachdem James Burton zeigte, dass er ein Zertifikat von Comodo und Symantec mit einer gefälschten Firma, die er in Großbritannien gegründet hatte, erhalten konnte. Er deutete an, dass ein Hacker Zugriff auf die Zugangsdaten aus dem Dark Web erhalten und diese verwenden könnte, um eine gefälschte Firma zu gründen und dann eine gefälschte Domain und ein EV SSL zu kaufen, um diese Domain zu sichern. Der Wissenschaftler Ian Carroll führte ein etwas anderes Experiment durch und registrierte eine falsche Firma, aber im Namen einer Firma, die bereits existierte, Stripe. Er registrierte das Unternehmen in einem anderen Land, beantragte ein Zertifikat für https://stripe.ian.sh, anstelle des echten https://stripe.com, und zeigte, dass die URL-Leiste in Safari für beide Websites genau gleich aussah.

Diese Artikel haben eine Welle von Diskussionen in der Branche über den Wert von EV SSL ausgelöst. Ich habe diese Diskussion aufmerksam verfolgt, muss aber gestehen, dass es mir schwerfiel, mich nicht darüber zu ärgern. Ich ärgere mich über die Fehlinformationen, die diese Branche seit Jahren plagt und darüber, dass wir alle dafür verantwortlich sind.

Ich denke, wir haben alle die wahre Bedeutung von EV SSL aus den Augen verloren. Zertifizierungsstellen können für die falsche Vermarktung von EV SSL verantwortlich gemacht werden und dafür, dass sie es klingen lassen, als wenn EV-Zertifikate im Alleingang Phishing bekämpfen und Ihre Verkäufe magisch steigern könnten. Aber auch Sicherheitsexperten und Befürworter von DV können dafür verantwortlich gemacht werden, dass der Wert von EV bei der Sicherung des Internets in Vergessenheit gerät. Auch Browser sind schuld daran, dass sie EV keine benutzerfreundliche Oberfläche gegeben haben. Etwas, das der Durchschnittsverbraucher richtig verstehen und erkennen würde. Ich hoffe, dass ich in diesem Blog einige der wichtigsten Probleme mit EV SSL behandle und ich werde Zitate aus der Mozilla Dev Security Policy Group auf Google verwenden.

Der Zweck eines EV SSL-Zertifikats

Kann EV SSL für Phishing verwendet werden? Ja, wie wir aus den obigen Untersuchungen wissen. Aber ein Hacker muss schon ziemlich entschlossen sein, um sich die Mühe zu machen, eine gefälschte Identität zu kaufen, ein falsches Unternehmen zu registrieren, ein Premium-Zertifikat zu bezahlen und 3-5 Tage nach einer EV-SSL-Bestellung auf seine Validierung zu warten, um seine kriminellen Aktivitäten zu starten. Vor allem, wenn er bereits weiß, dass er in Sekundenschnelle ein kostenloses DV bekommen kann, mit dem er ein Vorhängeschloss erhält, dem die meisten Verbraucher wahrscheinlich sowieso vertrauen.

Dies war der Punkt, an dem EV SSL einsetzt. Als das CA/Browser-Forum (CA/B) die Richtlinien für EV aufstellte, erklärten sie ausdrücklich, dass der Zweck eines EV SSL-Zertifikats darin besteht:

a)      den Rechtsträger zu identifizieren, der eine Website kontrolliert und

b)      verschlüsselte Kommunikation mit einer Website zu ermöglichen.

Speziell in Bezug auf den Punkt "a" besagt sie, dass EV dazu bestimmt ist:

"Dem Nutzer eines Internet-Browsers eine angemessene Zusicherung zu geben, dass die Website, auf die der Nutzer zugreift, von einem bestimmten Rechtsträger kontrolliert wird, der im EV-Zertifikat mit Namen, Anschrift des Geschäftssitzes, Gerichtsstand oder Registrierung und Registrierungsnummer oder andere eindeutige Informationen identifiziert ist."

Der Hauptpunkt hier ist angemessene Zusicherung. Wir können nicht 100% garantieren oder wissen, dass die Website, auf der Sie sich befinden, die eines legitimen Unternehmens ist (und ein EV-Zertifikat bürgt nicht für die Aktivitäten des Unternehmens), aber wir können Ihnen zeigen, wer das Unternehmen ist.

Sie fragen sich vielleicht, was soll das?

Datenschutz vs. Identität

Seit es das Internet gibt, gab es immer zwei Sicherheitsprobleme, die die Informationssicherheits-Community zu lösen versuchte.

  1. Datenschutz - Wie stellen wir sicher, dass ein Dritter die private Kommunikation zwischen Bob und Alice nicht lesen kann?
  2. Identität - Wie kann Alice sicherstellen, dass Bob wirklich mit ihr kommuniziert?

Diese sind den Problemen sehr ähnlich, die vor der Existenz des Internets bestanden. Postlieferungen verwendeten Umschläge und Wachssiegel, um zu verhindern, dass sie geöffnet wurden. Aber jemand konnte immer noch Ihre Post öffnen und Ihr personalisiertes Wachssiegel fälschen, um eine Old-School-Version eines Man-in-the-Middle- oder Phishing-Angriffs durchzuführen. Tatsache ist, es gibt keine Garantien, nur Begrenzung. Aber Begrenzung ist dennoch wichtig.

Dies erinnert mich an frühere Argumente, die in der Branche darüber kursierten, dass DV für Phishing verwendet würde, was letztlich ein Identitätsproblem ist - Besucher können nicht sagen, wer die Website betreibt und mit wem sie kommunizieren. Am 20. März 2017 veröffentlichte Vincent Lynch von The SSL Shop einen Blog, der 1.000 Zertifikate zeigte, die mit dem Begriff „PayPal“ darin ausgestellt waren. Mehr als 99% waren für Phishing-Websites gedacht.

Während Unternehmen wie Let's Encrypt dafür gelobt wurden, dass sie eine einfache und effektive Möglichkeit auf den Markt gebracht haben, um kostenlose DV-Zertifikate zu erhalten, ging dies mit der zusätzlichen Belastung einher, dass es für Millionen von Phishing-Websites ein Wegbereiter war, nun das grüne Vorhängeschloss zu missbrauchen, um vertrauenswürdig zu erscheinen. Hinzu kommt die kürzlich erfolgte Aufnahme eines "sicher" Labels in einigen Browser-UIs für alle Sites, die SSL verwenden. Selbst eine Phishing-Site würde daher mit "sicher" gekennzeichnet, da sie ein DV-Zertifikat verwendet.

Das Problem hier ist eine Verschmelzung von Datenschutz und Identität - Die Anzeige von Vorhängeschloss, HTTPS und in einigen Fällen "sicher" Label in Browsern, dienen nur dazu, für den Datenschutz zu bürgen (die Verbindung zur Website ist verschlüsselt). Aber Websitebesucher setzen ein gewisses Maß an Legitimität voraus, wenn sie diese Sicherheitsindikatoren sehen.

Scott Helme hat es in seinem Artikel sehr gut ausgedrückt, als er sagte:

Die Anzeige "Sicher" bedeutet, dass der Browser sich mit einem Server verbunden hat, der ein gültiges Zertifikat für den Domainnamen, mit dem eine Verbindung hergestellt wurde, vorweisen kann, das von einer CA ausgestellt wurde, der der Browser vertraut, und dass eine verschlüsselte Verbindung hergestellt wurde. Das ist alles. Das ist alles, was das grüne HTTPS in der Adressleiste bedeutet. Das Problem ist, dass viele Leute glauben, dass dies viel mehr als das bedeutet und dass es der Website eine gewisse Glaubwürdigkeit verleiht.

Es scheint, dass irgendeine Methode, um die Identität einer Website für Besucher transparent zu machen, viel zur Behebung dieser Verwirrung beitragen könnte - irgendeine Art zu sagen "Ihre Eingaben werden verschlüsselt UND Sie kommunizieren tatsächlich mit der gewollten Person". Für mich stellt diese verifizierte Identitätsinformation den wahren Wert von EV dar und weshalb es, meiner Meinung nach, nicht mehr wegzudenken ist.

Wie bereits erwähnt, besteht einer der Zwecke von EV darin, den Rechtsträger zu identifizieren, der eine Website kontrolliert. Diese Information befindet sich bereits im Zertifikat. Es geht nur darum, es dem Besucher leichter konsumierbar zu machen.  Wie diese Informationen präsentiert werden, ist eine andere Sache - Ich behaupte nicht, dass die heutige Vorgehensweise die beste Methode ist oder nicht verbessert werden könnte - aber ich denke, anstatt EV schnell zu verwerfen, sollten wir stattdessen diskutieren, wie man das Beste aus seinen strengen Identitätsverifizierungsprozessen herausholen kann und möglicherweise verbessern kann, wie diese Informationen den Besuchern präsentiert werden ... was mich zu meinem nächsten Punkt hinsichtlich Browser-UI bringt.

Andere relevante Artikel über DV-Nutzung bei Phishing:

Browser UI

Wenn man Screenshots direkt aus Ian Carrols Untersuchung nimmt, kann man erkennen, dass EV SSL je nach Browser sehr unterschiedlich aussieht.

1. Safari - verbirgt die URL vollständig!! Dies kann nicht gut für Benutzer sein, die versuchen, eine Phishing-Website zu erkennen.

Safari – completely hides the URL!! This can’t be good for users who are trying to spot a phishing website.

2. Chrome - Chrome zeigt zu diesem Zeitpunkt EV mit dem Firmennamen in grün nach dem Vorhängeschloss an. Um weitere Details über das Unternehmen anzuzeigen, das hinter dem Zertifikat steht, müssen Sie einige Mausklicks ausführen und in die Zertifikatdetails eintauchen.

Chrome – at this point in time, Chrome shows EV with the company name in green after the padlock. To view any more details about the company behind the certificate, you have to go through a few mouse clicks and dive into the certificate details.

In der Mozilla Diskussionsgruppe ging Ryan Sleevi sogar so weit, dass Chrome dieses spezielle Merkmal sogar aus seinem Browser entfernen könnte:

Wie Sie wissen, bewertet Chrome immer noch den Wert von EV mit spezieller Benutzeroberfläche, wie in vergangenen CA/Browser Forum-Meetings [1][2] diskutiert. Dies bezieht sich nicht auf den Wert von EV für das Ökosystem insgesamt, sondern eher auf den Wert für Browser, solche Zertifikate zu unterscheiden oder spezialisierte UI zu benötigen.

3. Firefox - Erlaubt, im Gegensatz zu Chrome, Ort und Staat eines Unternehmens mit zwei Mausklicks anzuzeigen. Aber wie Ian richtig bemerkt, müsste ein Benutzer wissen, wo das Unternehmen, bei dem er bestellt, seinen Hauptsitz hat, bevor er überprüft, ob diese Informationen übereinstimmen.

unlike Chrome, does allow you to view the city and state of an incorporation within two mouse clicks. But as Ian rightly points out, a user would have to know where the company they are ordering from is headquartered before they check if this info matches.

Es scheint nur komisch, dass Vertreter von Google vorschlagen, die EV-Benutzeroberfläche vollständig zu entfernen, wenn die Standardisierung einer EV-Benutzeroberfläche wie ein großer Schritt zur Lösung der mit ihrem Wert verbundenen Probleme erscheint.

Sicher, nicht jeder würde sich die Mühe machen, das Land und den Staat der Website, von der er kauft, zu überprüfen. Aber mit einer besseren Sensibilisierung werden wir dies vielleicht tun, wenn wir große Websites wie PayPal besuchen. Wenn man die EV-Behandlung vollständig entfernt, hat man eine Situation, in der kein einziger Internetnutzer die Rechtmäßigkeit einer Website beurteilen kann. Erst nachdem jemand getäuscht wurde, wird die Website in einen Phishingfilter gelangen. Ich würde eine Welt bevorzugen, in der die Browsererkennung eindeutig ist und Internetnutzer darüber geschult werden, wonach sie Ausschau halten müssen, sodass weniger Menschen getäuscht werden und jeder Entscheidungen aufgrund seiner eigenen Beurteilung trifft.

EV-Validierung

Einige Leute haben argumentiert, dass EV-Validierung Teil des Problems ist. Gemäß den Richtlinien muss eine Zertifizierungsstelle Folgendes überprüfen:

  1. die rechtliche Existenz oder Identität eines Antragstellers,
  2. die physische Existenz eines Antragstellers,
  3. die betriebliche Existenz eines Antragstellers.

Ein Antragsteller muss sich als private Organisation qualifizieren, indem er sich bei einer in seinem Hoheitsgebiet ansässigen Integrations- oder Registrierungsstelle anmeldet. In vielen Fällen bedeutet dies, dass es eine Registrierungsnummer gibt. Aber wie wir gesehen haben, ist es sehr einfach, ein Unternehmen anzumelden und zu registrieren. Es gibt keine Überprüfungen des Antragstellers durch die Behörden. Aber was würden sie prüfen? Hier kommen also Punkt zwei und drei ins Spiel.

Obwohl eine Zertifizierungsstelle prüfen würde, ob das Unternehmen registriert ist, sind noch einige weitere Überprüfungen erforderlich, um sicherzustellen, dass die Geschäftseinheit tatsächlich existiert. Die physische Existenz der Entität kann mit einem virtuellen Büro vorgetäuscht werden, sodass nun weitere Überprüfungen erforderlich sein sollten, um sicherzustellen, dass der Standort real und nicht virtuell ist. Ein etwas scharfsichtigerer Überprüfer hätte sich Ian Carrolls Antrag angesehen und bemerkt, dass der Geschäftsstandort von Stripe nicht so ganz "physisch" war (evtl. durch einen Blick auf Google Maps Street View).

Darüber hinaus, und vielleicht am wichtigsten, besagt das CA/B-Forum, dass wir die betriebliche Existenz einer Geschäftseinheit überprüfen müssen. Dies stellt sicher, dass der Antragsteller tatsächlich ein Geschäft betreibt. Wir müssen nicht prüfen, ob sie ein rechtlich und ethisch korrektes Geschäft betreiben. Aber mit dieser Anforderung hätte ein Überprüfer immer noch den Antrag von Stripe in Frage stellen müssen.

Wir bei GlobalSign sind stolz auf unsere strengen Prüfverfahren, bei denen wir manchmal über die Anforderungen des CA/B-Forums hinausgehen. Zum Beispiel haben wir interne Verfahren, die vorschreiben, jedes Unternehmen, das weniger als eine bestimmte Zeit registriert ist, mit besonderer Vorsicht anzugehen. Wir betrachten eine Organisation aus einer ganzheitlichen Perspektive und verwenden mehrere Berührungspunkte, um festzustellen, ob sie registriert ist, Geschäfte an einem physischen Standort tätigt und tatsächlich ein Geschäft betreibt.

Unser eigener Doug Beattie sagte es in der Mozilla-Gruppe:

Es liegt im eigenen Interesse der CA, die Richtlinien und Anforderungen für die Ausstellung von EV zu verbessern. Die Finanzbranche hat Vorschriften, die allgemein als "Know Your Customer" (KYC) bekannt sind und dazu gedacht sind, Dinge wie Geldwäsche, Terrorismusfinanzierung und ähnliches abzuwenden. Obwohl KYC nicht direkt auf CAs und EV anwendbar ist, kann es dennoch als ein Modell dienen, bei dem Kunden überprüft werden, bevor bestimmte Aktionen von der CA erlaubt werden.

Es erscheint mir zum Beispiel nicht vertretbar, dass eine CA ein EV-Zertifikat an ein Unternehmen ausstellen sollte, das keine Vorgeschichte hat und nur den dünnsten Beweis für seine Legitimität bietet, wie in den Originalberichten dokumentiert. Alle Zertifizierungsstellen müssen in dieser Hinsicht besser werden. Ich halte es nicht für unzumutbar, dass CAs vor der eigentlichen EV-Ausstellung eine dokumentierte, bereits bestehende Beziehung zu einem EV-Antragsteller haben.

Und was jetzt?

Es ist wahr, wir sind ein großer Teil unseres eigenen Problems und deshalb tut sich der CA Security Council zusammen, um die EV-SSL-Debatte zu seiner obersten Priorität zu machen. Zusammen mit dem CA/B-Forum werden Änderungen vorgenommen, um den Wert von EV zu beeinflussen.

Ich persönlich denke, dass drei Dinge passieren müssen, und zwar schnell:

  1. EV-SSL-Zertifikate dürfen nicht mehr als Wunderwaffe gegen Phishing vermarktet werden. Sie bieten Unternehmen zwar die Möglichkeit, ihre Identität an ihre Websites zu binden und dass Besucher diese Identität sehen können, die dazu beiträgt, legitime Websites, die EV verwenden, von Betrüger-Websites, die DV-Zertifikate verwenden, zu unterscheiden. Aber EV-Zertifikate können und werden Phishing jedoch kein Ende setzen.
  2. Browser müssen mit CAs arbeiten, nicht gegen sie. Ja, sie sind verantwortlich für ihre Produkte und wie ihre Produkte auf dem Markt gesehen werden, aber sie sind auch dafür verantwortlich, wie digitale Zertifikate (nicht ihr Produkt) auf dem Markt gesehen werden. Mozilla und Google haben beide Allianzen mit Let's Encrypt und kümmern sich daher nicht wirklich um EV SSL. Es sollte etwas getan werden, um Richtlinien durchzusetzen und die Benutzeroberfläche zu standardisieren - Vorhängeschloss für DV, etwas anderes für EV und eine Versicherung, dass URLs nicht verschleiert werden, wie es bei Safari mit EV der Fall war. Dies sollte im CA/B-Forum diskutiert werden.
  3. Strengere Prüfverfahren und -praktiken müssen ausgearbeitet und an alle Zertifizierungsstellen angepasst werden, um sicherzustellen, dass gründlichere Überprüfungen einer antragstellenden Organisation durchgeführt werden und dass kaum oder gar keine Chancen bestehen, dass ein gefälschtes oder illegitimes Unternehmen ein EV-SSL-Zertifikat beantragen und erhalten kann.

Glücklicherweise haben wir hier bei GlobalSign ein fantastisches Team von Leuten, die hart daran arbeiten, Vorkehrungen zu treffen, noch bevor irgendwelche Richtlinien festgelegt werden. DV ist großartig, um den Datenschutz zu gewähren. Aber wir wissen auch, wie wichtig es ist, Identität auch in der Kommunikation sicherzustellen. Der Schutz von Internetnutzern durch die Abdeckung dieser beiden Gründe ist unseres Erachtens notwendig und wir werden unser Bestes tun, um dafür zu kämpfen.

Artikel teilen