GlobalSign Blog

19 Jul 2017

Identity ist wichtig für SSL… Warum gesichert nicht unbedingt sicher heißen muss

Verschlüsseln ist toll! Verschlüsseln ist notwendig! Wir können online keine Geschäfte abschließen, ohne Daten zu verschlüsseln. Als Konsumenten werden wir schon lange daran erinnert auf das sichere HTTPS einer Website zu schauen und nur den Seiten zu trauen, die dies anzeigen. Und das ist auch alles richtig, aber: ist eine gesicherte Website automatisch sicher? Reicht Verschlüsselung alleine?

Kostenlose SSL/TLS Zertifikatsdienste wie Let’s Encrypt haben viel dafür getan, um Leute von Verschlüsselung zu überzeugen. Let’s Encrypt erleichtert es Kunden extrem ein Domain Validated (DV) Zertifikat zu erhalten, ein einfaches SSL/TLS Zertifikat für Verschlüsselung. DV Zertifikate, egal ob kostenlos oder nicht, helfen Millionen von Websites bei der Verschlüsselung von Seiten. Google stuft außerdem Seiten ohne HTTPS als unsicher ein. Und die Online-Geschäftswelt hat begriffen, dass alles verschlüsselt werden sollte. Tatsächlich hat gerade verschlüsselter Internetverkehr das Volumen von nichtverschlüsseltem Verkehr überholt.

Verschlüsselte Websites sind gut… oder? Tja, vielleicht, vielleicht auch nicht. Let’s Encrypt macht es kinderleicht kostenlose DV Zertifikate zu erhalten, doch jetzt kann jeder ein SSL/TLS Zertifikat für jede Art von Website erhalten. Niemand hält Personen davon ab ein DV Zertifikat von Let’s Encrypt, oder einer anderen Zertifizierungsstelle (CA), auf seiner Website zu installieren, um diese sicherer erscheinen zu lassen. Aber um auf die Frage zurückzukehren: ist die gesicherte Seite nun sicher und vertrauenswürdig?

Vor kurzem waren Fälle von Phishing- und anderen bösartigen Seiten in den Medien, die DV Zertifikate von Let’s Encrypt genutzt haben, um echt und sicher zu erscheinen. Uns wurde gesagt, dass wir auf HTTPS achten sollen, und tja, das Merkmal erfüllen diese Seiten. Auch Google bewertet die Seite als sicher und das Schlosssymbol ist auch in anderen Browsern deutlich zu sehen. Auf den ersten Blick erscheinen die Phishing-Seiten vertrauenswürdig. Um es wie Admiral Akbar auszudrücken: „Es ist eine Falle!“. Sie müssen zweimal darüber nachdenken, ob die Seiten von PayPal, Banken oder Onlinehändlern tatsächlich die echten sind.

Example PayPal phishing site

Beispiel einer PayPal Phishing Website mit einem kostenlosen DV Zertifikat

Woher kann man erkennen, dass eine Website gesichert und sicher ist?

DV ist nur eine Art von SSL/TLS Zertifikat. Die meisten Zertifizierungsstellen (CAs) bieten DV Zertifikate. Wie alle SSL/TLS Zertifikate verschlüsselt ein DV Zertifikat die Kommunikation zwischen Browser und Webserver und die Seite zeigt HTTPS an. Normalerweise sind die Zertifikate günstig (oder kostenlos) und einfach zu erhalten, da man nur den Besitz der Domain beweisen muss. Das bedeutet, das nichts im Zertifikat sagt, ob das Zertifikat für www.meinefirma.de auch wirklich von „Meine Firma“ erworben wurde.

Example DV Certificate appearance

Obwohl Let’s Encrypt die besten Vorsätze hatte, um das Internet sicher zu machen, haben böse Personen den kostenlosen Dienst ausgenutzt. Let’s Encrypt ist nun leider Opfer von böswilligen Aktivitäten und ermöglicht diese Art von Phishing-Seiten. Die Frage ist wer Schuld hat: die CA, weil sie das Zertifikat ausgestellt hat, oder der Browser, weil er die Seite als sicher präsentiert. Aber die Frage möchten wir hier nicht vertiefen. Wir möchten heute zeigen, wie wichtig eine Identität im SSL Zertifikat ist und was dies bedeutet.

Darum ist Identität so wichtig

Auch wenn eine Seite verschlüsselt ist, heißt das nicht, dass sie deswegen sicher ist. Wenn Verschlüsselung aber mit einer Identität verbunden wird, ist es viel schwieriger eine Seite vorzutäuschen. Außer der schon erwähnten DV Zertifikatsart, gibt es noch zwei weitere, die die Identität an die Domain binden: Extended Validation (EV) und Organization Validated (OV) Zertifikate. Um EV und OV Zertifikate zu erhalten, prüft die CA die Rechte des Antragsstellenden an der Domainnutzung, und führt eine Prüfung des Unternehmens durch, um die Identität des Besitzers zu bestätigen.

EV Zertifikate bieten das stärkste verfügbare Level an Verschlüsselung und geben dem Unternehmen hinter der Website die Möglichkeit Websitebenutzern die eigene verifizierte Identität zu zeigen. EV Zertifikate garantieren, dass der Besitzer der Website eine ausführliche, und weltweit standardisierte, Verifizierung der Identität durchlaufen hat, der in den EV Richtlinien festgelegt ist (eine Zahl von Vettingrichtlinien und -vorschriften die vom CA/Browser Forum vorgegeben werden). Um den Verifizierungsvorgang von EV Identitäten zu bestehen muss der Anwärter das alleinige Recht an der Domain haben, seine gesetzliche, operative und physische Existenz beweisen und zeigen, dass die Einheit befugt ist das Zertifikat auszustellen.

Example EV Certificate appearance

Obwohl auch OV Zertifikate einen Beweis der Identität verlangen, sind Sie nicht so erstrebenswert wie EV Zertifikate, weil die Identität nicht direkt in der Adresszeile gezeigt wird und sie die gleichen Browsermerkmale erhalten wie ein DV Zertifikat (es werden z.B. nur ein Schlosssymbol und https angezeigt). Der Unterschied zwischen einem OV Zertifikat und einem DV Zertifikat liegt in den zusätzlich geprüften Unternehmensinformationen, die dem Besucher beim Klicken auf das Zertifikat angezeigt werden. Dies bietet mehr Transparenz, wer hinter der Website steht und stärkt das Vertrauen.

Wer sollte EV SSL Zertifikate nutzen?

EV SSL Zertifikate sollten für alle Anwendungen genutzt werden, die dem Benutzer Gewissheit über den Ursprung der Seite, sichtbares Vertrauen und starke Verschlüsselung geben wollen. Bekannte Websites, die oft Opfer von Phishing-Angriffen werden, wie bekannte Marken, Banken und Finanzinstitute sollten für öffentlich zugängliche Websites EV SSL Zertifikate nutzen. Aber letztendlich profitieren alle Websites, die Daten sammeln, Logins haben oder Onlinezahlungen entgegennehmen von stärkerem Vertrauen durch das höhere SSL/TLS Level.

EV SSL Zertifikate geben außerdem weniger bekannten Marken das gleiche Level an Vertrauen, um gegen bekanntere Marken im Internet bestehen zu können. Digitaler Handel stützt sich auf Vertrauen und EV Zertifikate bieten das höchste Level an Vertrauen und bestätigen, dass die Seite sowohl gesichert, als auch sicher ist.

Wie entscheide ich mich für die richtige Art von Zertifikat?

Um das richtige SSL/TLS Zertifikat für Ihre Website zu wählen müssen Sie ein paar Faktoren berücksichtigen. Ist Ihre Marke und Ihr Ruf wichtig für Sie? Sammeln Sie persönliche Informationen? Werden vertrauliche Daten gespeichert oder finanzielle Transaktionen durchgeführt? Falls Sie mit „Ja“ auf eine der Fragen geantwortet haben, sollten Sie ein EV Zertifikat ernsthaft in Betracht ziehen, um Ihren Besuchern und Kunden ein passendes Level an Vertrauen zu bieten. Bieten Sie nur Informationen an, wie zum Beispiel über einen Blog, dann reicht Ihnen möglicherweise ein DV Zertifikat. Mit einem OV Zertifikat können Sie das Level an Vertrauen erhöhen, falls Sie dies wünschen.

Im Januar hat der PCI Security Standards Council einen Guide zum Thema Best Practices for Securing E-commerce (auf Englisch) herausgegeben. Der Guide beinhaltet einen Teil über die Wahl von öffentlichen Zertifikaten (d.h. SSL/TLS Zertifikate), und gibt auch an, wie man eine CA und die richtige Art von Zertifikat für einen Onlinehandel auswählt. Der PCI Security Standards Council empfiehlt OV und EV Zertifikate, wenn Sie Online-Transaktionen durchführen.

PCI Standards TLS Certificate Level Summary

Quelle: PCI Security Standards Council Best Practices for Securing E-commerce, Seite 38

Als eine der führenden CAs helfen wir bei GlobalSign Ihnen gerne das richtige SSL/TLS Zertifikat zu finden. Wir sind seit über 20 Jahren in der Branche tätig und haben schon Unternehmen aller Größenordnungen unterstützt. Wir bieten außerdem Verwaltungslösungen, so dass Sie weniger Aufwand mit der Verwaltung von mehreren Zertifikaten haben, von der Wahl, bis zur Ausstellung, über Wiederruf und Erneuerung. Kontaktieren Sie uns gerne mit Ihren Fragen.

Artikel teilen