• IT-Karriere:
  • Services:

Extended Validation: Browser wollen teure Zertifikate nicht mehr hervorheben

Sogenannte Extended-Validation-Zertifikate führten bisher dazu, dass in Browsern der Firmenname vor der Adresszeile angezeigt wurde. Chrome und Firefox schaffen das jetzt ab, da kaum etwas darauf hindeutet, dass damit die Sicherheit erhöht wird.

Artikel veröffentlicht am ,
Sie sollen mehr Sicherheit bringen, Kritiker halten sie vor allem für Geldmacherei: Sogenannte Extended-Validation-Zertifikate.
Sie sollen mehr Sicherheit bringen, Kritiker halten sie vor allem für Geldmacherei: Sogenannte Extended-Validation-Zertifikate. (Bild: Christopher Hollis, Wikimedia Commons)

Dieser Schritt dürfte Zertifizierungsstellen nicht gefallen: Sowohl die Entwickler von Chrome als auch die von Firefox haben angekündigt, künftig sogenannte Extended-Validation-Zertifikate nicht mehr optisch in der Adresszeile hervorzuheben. Bisher wird bei HTTPS-Verbindungen mit solchen Zertifikaten der Firmenname in Grün angezeigt. Ob das etwas in Sachen Sicherheit bringt, ist zweifelhaft.

Stellenmarkt
  1. heroal - Johann Henkenjohann GmbH & Co. KG, Verl
  2. CCV Deutschland GmbH, Au i. d. Hallertau

Wer ein Webseitenzertifikat kauft, hat dabei heute meist die Wahl zwischen verschiedenen Varianten. Bei sogenannten Domain-Validation- oder DV-Zertifikaten wird lediglich überprüft, ob der Antragsteller die Domain auch tatsächlich kontrolliert. Bei Organization Validation (OV) und bei Extended Validation (EV) kann in das Zertifikat der Name einer Firma und deren Adresse eingetragen werden. Zumindest theoretisch sollte die Zertifizierungsstelle die eingetragenen Daten dabei sorgfältig prüfen, etwa anhand von Gewerbeanmeldungen.

Bisher: Firmenname wird in Grün vor der Adresszeile angezeigt

OV-Zertifikate sind schon bisher im Browser kaum von normalen DV-Zertifikaten zu unterscheiden. Um überhaupt zu sehen, dass dort zusätzliche Daten eingetragen sind, muss man die entsprechenden Details des Zertifikats aufrufen, was kaum ein normaler Nutzer tun dürfte. Anders war das bisher bei EV-Zertifikaten: Hier wird vor der Adresszeile in einem Balken der Firmenname in Grün angezeigt.

In der Krypto- und IT-Sicherheitscommunity gibt es schon lange skeptische Stimmen zu dieser Hervorhebung. Denn zusätzliche Sicherheit bringt das Ganze nur, wenn Nutzer diese Extra-Anzeige auch wahrnehmen. Dafür spricht wenig. So hatten einige namhafte Webseiten in der Vergangenheit Extended-Validation-Zertifikate genutzt und dann wieder abgeschafft und kaum jemand hat es bemerkt. Zu den ehemaligen EV-Nutzern gehören etwa Facebook und Twitter.

Zertifikate für Stripe - aber nicht für den bekannten Zahlungsdienstleister

Für weitere Zweifel an der Sinnhaftigkeit sorgte der IT-Sicherheitsspezialist Ian Carroll: Er registrierte sich ein Extended-Validation-Zertifikat für die Firma "Stripe Inc". Dabei handelte es sich aber nicht um den bekannten Zahlungsdienstleister Stripe. Carroll hatte zuvor selbst eine Firma mit demselben Namen im US-Bundesstaat Kentucky angemeldet - weil dort die Anmeldung von Firmen besonders einfach ist.

Carrolls Zertifikat wurde anschließend von der Zertifizierungsstelle Comodo (heute Sectigo) zurückgezogen. Dafür gab es aber eigentlich keinen Grund. Carroll hatte das Zertifikat völlig zu Recht erhalten.

Es gibt zudem eine Reihe von Beispielen, bei denen sich zeigte, dass Zertifizierungsstellen offenbar bei der Prüfung der Inhalte von EV-Zertifikaten nicht besonders sorgfältig vorgehen. So wurden in der Vergangenheit diverse Zertifikate ausgestellt, in denen bei der Firmenadresse "Default City" als Ort eingetragen war.

Diese Diskussionen haben die Entwickler von Firefox und Chrome dazu bewogen, die Sonderbehandlung von EV-Zertifikaten größtenteils zu beenden. Der in Grün angezeigte Firmenname fällt weg, nur wer auf das Schlosssymbol im Browser klickt, erhält weiterhin den Firmennamen des Zertifikats angezeigt. Schon vorher hatte Safari einige Änderungen bei der Anzeige vorgenommen.

EV-Zertifikate bringen Zertifizierungsstellen viel Geld ein

Für viele Zertifizierungsstellen sind das schlechte Nachrichten, denn Extended-Validation-Zertifikate bringen viel Geld ein. Durch das Aufkommen von kostenlosen Zertifizierungsstellen wie Let's Encrypt sind die Preise für gewöhnliche DV-Zertifikate immer weiter gesunken. EV-Zertifikate hingegen kosten mehrere hundert Euro.

Für immer mehr Kunden dürfte sich die Frage stellen, warum sie überhaupt für Zertifikate Geld ausgeben. Denn es gibt kaum technische Unterschiede zwischen den verschiedenen Zertifikatstypen. Mit Premiumprodukten wie Extended Validation versuchen Zertifizierungsstellen, den Eindruck zu erwecken, dass man für bestimmte Zwecke teurere Zertifikate benötigt, obwohl kostenlose Zertifikate, etwa von Let's Encrypt, in Sachen Verschlüsselung dasselbe Sicherheitsniveau bieten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 88,99€
  2. 27,90€
  3. 349,00€
  4. (u.a. Winkelschleifer GWS 7-125 für 35,99€, Akku Kreissäge GKS 18V-57 für 115,99€ )

My1 31. Aug 2019

1. sagte ich eigentlich 2. hat (oder hatte) der Ian eine Firma namens Stripe Inc. und...

My1 31. Aug 2019

es bietet schon eine höhere sicherheit, da nicht jeder idiot im intranet nen webserver...

Auspuffanlage 29. Aug 2019

OK. Ich bin kein Fan von Wildcard Zertifikaten.

Auspuffanlage 29. Aug 2019

Das hat mit zu viel Zeit nichts zu tun! Bei dem Code kannst du selber prüfen, bei einer...

stili 14. Aug 2019

Dafür habe ich Passwort Manager. Falsche Seite >>> kein autofill


Folgen Sie uns
       


The Outer Worlds - Fazit

Das Rollenspiel The Outer Worlds schickt Spieler an den Rand der Galaxie. Es erscheint am 25. Oktober 2019 und bietet spannende Missionen und Action.

The Outer Worlds - Fazit Video aufrufen
Mi Note 10 im Kamera-Test: Der Herausforderer
Mi Note 10 im Kamera-Test
Der Herausforderer

Im ersten Hands on hat Xiaomis Fünf-Kamera-Smartphone Mi Note 10 bereits einen guten ersten Eindruck gemacht, jetzt ist der Vergleich mit anderen Smartphones dran. Dabei zeigt sich, dass es einen neuen, ernstzunehmenden Konkurrenten unter den besten Smartphone-Kameras gibt.
Von Tobias Költzsch

  1. Xiaomi Neues Redmi Note 8T mit Vierfachkamera kostet 200 Euro
  2. Mi Note 10 Xiaomis neues Smartphone mit 108 Megapixeln kostet 550 Euro
  3. Mi Watch Xiaomi bringt Smartwatch mit Apfelgeschmack

Starlink: SpaceX steht zwischen Flaute und Rekordjagd
Starlink
SpaceX steht zwischen Flaute und Rekordjagd

Die nächsten 60 Starlink-Satelliten stehen zum Start bereit, nachdem in diesem Jahr ungewöhnlich wenige Raketen gestartet sind - nicht nur von SpaceX. Die Flaute hat SpaceX selbst verursacht und einen Paradigmenwechsel in der Raumfahrt eingeläutet.
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX testet Notfalltriebwerke des Crew Dragon
  2. Starship Mit viel Glück nur 6 Monate bis zum ersten Flug ins All
  3. SpaceX Das Starship nimmt Form an

Neuer Streamingdienst von Disney: Disney+ ist stark bei Filmen und schwach bei Serien
Neuer Streamingdienst von Disney
Disney+ ist stark bei Filmen und schwach bei Serien

Das Hollywoodstudio Disney ist in den Markt für Videostreamingabos eingestiegen. In den USA hat es beim Start von Disney+ technische Probleme gegeben. Mit Blick auf inhaltliche Vielfalt kann der Dienst weder mit Netflix noch mit Amazon Prime Video mithalten.
Von Ingo Pakalski

  1. Disney+ Disney korrigiert falsches Seitenverhältnis bei den Simpsons
  2. Videostreaming im Abo Disney+ hat 10 Millionen Abonnenten
  3. Disney+ Disney bringt seinen Streaming-Dienst auf Fire-TV-Geräte

    •  /