Abo
  • IT-Karriere:

Extended Validation: Browser wollen teure Zertifikate nicht mehr hervorheben

Sogenannte Extended-Validation-Zertifikate führten bisher dazu, dass in Browsern der Firmenname vor der Adresszeile angezeigt wurde. Chrome und Firefox schaffen das jetzt ab, da kaum etwas darauf hindeutet, dass damit die Sicherheit erhöht wird.

Artikel veröffentlicht am ,
Sie sollen mehr Sicherheit bringen, Kritiker halten sie vor allem für Geldmacherei: Sogenannte Extended-Validation-Zertifikate.
Sie sollen mehr Sicherheit bringen, Kritiker halten sie vor allem für Geldmacherei: Sogenannte Extended-Validation-Zertifikate. (Bild: Christopher Hollis, Wikimedia Commons)

Dieser Schritt dürfte Zertifizierungsstellen nicht gefallen: Sowohl die Entwickler von Chrome als auch die von Firefox haben angekündigt, künftig sogenannte Extended-Validation-Zertifikate nicht mehr optisch in der Adresszeile hervorzuheben. Bisher wird bei HTTPS-Verbindungen mit solchen Zertifikaten der Firmenname in Grün angezeigt. Ob das etwas in Sachen Sicherheit bringt, ist zweifelhaft.

Stellenmarkt
  1. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  2. Dataport, Hamburg

Wer ein Webseitenzertifikat kauft, hat dabei heute meist die Wahl zwischen verschiedenen Varianten. Bei sogenannten Domain-Validation- oder DV-Zertifikaten wird lediglich überprüft, ob der Antragsteller die Domain auch tatsächlich kontrolliert. Bei Organization Validation (OV) und bei Extended Validation (EV) kann in das Zertifikat der Name einer Firma und deren Adresse eingetragen werden. Zumindest theoretisch sollte die Zertifizierungsstelle die eingetragenen Daten dabei sorgfältig prüfen, etwa anhand von Gewerbeanmeldungen.

Bisher: Firmenname wird in Grün vor der Adresszeile angezeigt

OV-Zertifikate sind schon bisher im Browser kaum von normalen DV-Zertifikaten zu unterscheiden. Um überhaupt zu sehen, dass dort zusätzliche Daten eingetragen sind, muss man die entsprechenden Details des Zertifikats aufrufen, was kaum ein normaler Nutzer tun dürfte. Anders war das bisher bei EV-Zertifikaten: Hier wird vor der Adresszeile in einem Balken der Firmenname in Grün angezeigt.

In der Krypto- und IT-Sicherheitscommunity gibt es schon lange skeptische Stimmen zu dieser Hervorhebung. Denn zusätzliche Sicherheit bringt das Ganze nur, wenn Nutzer diese Extra-Anzeige auch wahrnehmen. Dafür spricht wenig. So hatten einige namhafte Webseiten in der Vergangenheit Extended-Validation-Zertifikate genutzt und dann wieder abgeschafft und kaum jemand hat es bemerkt. Zu den ehemaligen EV-Nutzern gehören etwa Facebook und Twitter.

Zertifikate für Stripe - aber nicht für den bekannten Zahlungsdienstleister

Für weitere Zweifel an der Sinnhaftigkeit sorgte der IT-Sicherheitsspezialist Ian Carroll: Er registrierte sich ein Extended-Validation-Zertifikat für die Firma "Stripe Inc". Dabei handelte es sich aber nicht um den bekannten Zahlungsdienstleister Stripe. Carroll hatte zuvor selbst eine Firma mit demselben Namen im US-Bundesstaat Kentucky angemeldet - weil dort die Anmeldung von Firmen besonders einfach ist.

Carrolls Zertifikat wurde anschließend von der Zertifizierungsstelle Comodo (heute Sectigo) zurückgezogen. Dafür gab es aber eigentlich keinen Grund. Carroll hatte das Zertifikat völlig zu Recht erhalten.

Es gibt zudem eine Reihe von Beispielen, bei denen sich zeigte, dass Zertifizierungsstellen offenbar bei der Prüfung der Inhalte von EV-Zertifikaten nicht besonders sorgfältig vorgehen. So wurden in der Vergangenheit diverse Zertifikate ausgestellt, in denen bei der Firmenadresse "Default City" als Ort eingetragen war.

Diese Diskussionen haben die Entwickler von Firefox und Chrome dazu bewogen, die Sonderbehandlung von EV-Zertifikaten größtenteils zu beenden. Der in Grün angezeigte Firmenname fällt weg, nur wer auf das Schlosssymbol im Browser klickt, erhält weiterhin den Firmennamen des Zertifikats angezeigt. Schon vorher hatte Safari einige Änderungen bei der Anzeige vorgenommen.

EV-Zertifikate bringen Zertifizierungsstellen viel Geld ein

Für viele Zertifizierungsstellen sind das schlechte Nachrichten, denn Extended-Validation-Zertifikate bringen viel Geld ein. Durch das Aufkommen von kostenlosen Zertifizierungsstellen wie Let's Encrypt sind die Preise für gewöhnliche DV-Zertifikate immer weiter gesunken. EV-Zertifikate hingegen kosten mehrere hundert Euro.

Für immer mehr Kunden dürfte sich die Frage stellen, warum sie überhaupt für Zertifikate Geld ausgeben. Denn es gibt kaum technische Unterschiede zwischen den verschiedenen Zertifikatstypen. Mit Premiumprodukten wie Extended Validation versuchen Zertifizierungsstellen, den Eindruck zu erwecken, dass man für bestimmte Zwecke teurere Zertifikate benötigt, obwohl kostenlose Zertifikate, etwa von Let's Encrypt, in Sachen Verschlüsselung dasselbe Sicherheitsniveau bieten.



Anzeige
Spiele-Angebote
  1. 4,99€
  2. 29,99€
  3. (-87%) 1,99€
  4. 4,99€

stili 14. Aug 2019 / Themenstart

Dafür habe ich Passwort Manager. Falsche Seite >>> kein autofill

ollit 13. Aug 2019 / Themenstart

Das interessiert nur einen winzigen Bruchteil der Anwender. Über 99% der Anwender wollen...

ollit 13. Aug 2019 / Themenstart

Meine Forderung war es, im Intranet Self Signed Certificates als vertrauenswürdig...

HeroFeat 13. Aug 2019 / Themenstart

Wenn das erstmal im jeweiligen Browser drin ist, dann wird man das nicht mehr los. Also...

AllDayPiano 13. Aug 2019 / Themenstart

Ob jemand eine schadhafte Exe unterschiebt, oder Schadcode, kann niemand bewerten, der...

Kommentieren


Folgen Sie uns
       


Radeon RX 5700 (XT) - Test

Die Navi-10-Grafikkarten schlagen die Geforce RTX 2060(S), benötigen aber etwas mehr Energie und unterstützen kein Hardware-Raytracing, dafür sind sie günstiger.

Radeon RX 5700 (XT) - Test Video aufrufen
Elektromobilität: Die Rohstoffe reichen, aber ...
Elektromobilität
Die Rohstoffe reichen, aber ...

Brennstoffzellenautos und Elektroautos sollen künftig die Autos mit Verbrennungsantrieb ersetzen und so den Straßenverkehr umweltfreundlicher machen. Dafür sind andere Rohstoffe nötig. Kritiker mahnen, dass es nicht genug davon gebe. Die Verfügbarkeit ist aber nur ein Aspekt.
Eine Analyse von Werner Pluta

  1. Himo C16 Xiaomi bringt E-Mofa mit zwei Sitzplätzen für rund 330 Euro
  2. ADAC-Test Hohe Zusatzkosten bei teuren Wallboxen möglich
  3. Elektroroller E-Scooter sollen in Berlin nicht mehr auf Gehwegen parken

Indiegames-Rundschau: Epische ASCII-Abenteuer und erlebnishungrige Astronauten
Indiegames-Rundschau
Epische ASCII-Abenteuer und erlebnishungrige Astronauten

In Stone Story RPG erwacht ASCII-Art zum Leben, die Astronauten in Oxygen Not Included erleben tragikomische Slapstick-Abenteuer, dazu kommen Aufbaustrategie plus Action und Sammelkartenspiele: Golem.de stellt neue Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Von Bananen und Astronauten
  2. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  3. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter

Schienenverkehr: Die Bahn hat wieder eine Vision
Schienenverkehr
Die Bahn hat wieder eine Vision

Alle halbe Stunde von einer Stadt in die andere, keine langen Umsteigezeiten zur Regionalbahn mehr: Das verspricht der Deutschlandtakt der Deutschen Bahn. Zu schön, um wahr zu werden?
Eine Analyse von Caspar Schwietering

  1. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein
  2. One Fiber EWE will Bahn mit bundesweitem Glasfasernetz ausstatten
  3. VVS S-Bahn-Netz der Region Stuttgart bietet vollständig WLAN

    •  /