QWACs: EU-Plan "würde Websicherheit dramatisch schwächen"

Ein Plan der EU-Kommission sieht vor, Browsern eine Bevorzugung "qualifizierter" Webzertifikate vorzuschreiben - mit niedrigeren Sicherheitsstandards.

Artikel von veröffentlicht am
QWACs heißt ein Konzept der EU für spezielle Webseiten-Zertifikate - namhafte Wissenschaftlerinnen und Wissenschaftler warnen jetzt davor.
QWACs heißt ein Konzept der EU für spezielle Webseiten-Zertifikate - namhafte Wissenschaftlerinnen und Wissenschaftler warnen jetzt davor. (Bild: Sergey Korovkin 84/Wikimedia Commons/CC-BY-SA 4.0)

In einem offenen Brief warnen Wissenschaftlerinnen und Wissenschaftler die EU, dass eine geplante Regulierung von Webseitenzertifikaten "die Websicherheit dramatisch schwächen würde". Unterzeichnet wurde der von Mozilla organisierte offene Brief von einigen der führenden Forscher in Sachen Kryptographie und TLS-Sicherheit.

Inhalt:
  1. QWACs: EU-Plan "würde Websicherheit dramatisch schwächen"
  2. Jeder EU-Staat könnte Zertifizierungsstellen ernennen

Im Rahmen des Digital Identity Framework plant die EU weitreichende regulative Eingriffe in den Umgang der Webbrowser mit TLS-Zertifikaten. Kern des Vorschlags sind spezielle Zertifikate, die als Qualified Web Authentication Certificates oder QWACs bezeichnet werden.

QWACs basiert dabei im Kern auf einer alten Idee, die eigentlich bereits als obsolet galt: sogenannte Extended-Validation- oder EV-Zertifikate. Diese Zertifikate enthalten neben dem Domainnamen einer Webseite auch den Firmennamen und weitere Informationen wie die Adresse des Betreibers. Früher zeigten Webbrowser bei solch einem EV-Zertifikat den Firmennamen neben der Adresszeile in grün an.

EV galt als gescheitertes Konzept

EV-Zertifikate sind deutlich teurer und wurden in der Vergangenheit damit beworben, dass sie etwa einen Schutz gegen Phishing bieten. Die Idee dabei: Ein Nutzer bemerkt den grünen Firmennamen und würde beim Fehlen seine Zugangsdaten nicht eingeben.

Letztendlich basiert das ganze Konzept von EV darauf, dass Nutzer eben genau dies bemerken würden. Nur hat sich das in der Praxis als nicht haltbar herausgestellt. In Studien bemerkten die meisten Nutzer keinen Unterschied und große Webseiten - beispielsweise Facebook - hatten zeitweise EV eingeführt und dann wieder abgeschafft, ohne dass das groß bemerkt worden wäre.

Ein weiteres Problem: Firmennamen sind nicht eindeutig. Der IT-Sicherheitsexperte Ian Carroll hatte sich, um das zu demonstrieren, zeitweise EV-Zertifikate für die Firma Stripe ausstellen lassen. Dabei handelte es sich aber nicht um den bekannten Zahlungsdienstleister, Carroll hatte schlicht selbst eine Firma unter demselben Namen registrieren lassen. Dazu kommt: EV-Zertifikate lassen sich nicht automatisiert ausstellen und müssen manuell erneuert werden - was immer wieder dazu führt, dass das Neuausstellen vergessen wird.

All das hatte dazu geführt, dass die Browserhersteller sich entschieden, die Sonderbehandlung für EV-Zertifikate abzuschaffen. Sie können zwar weiterhin ausgestellt und gekauft werden, sie führen aber nicht mehr zu einer gesonderten grünen Anzeige im Browser.

Mit QWACs soll nun, so der Vorwurf den beispielsweise Mozilla erhebt, dieses eigentlich längst gescheiterte Konzept wiederbelebt werden. Browser wären verpflichtet, diese speziellen, teureren Zertifikate gesondert darzustellen.

Doch das ist nicht das einzige Problem mit dem Vorschlag. Die QWACs-Zertifikate sollen zudem von Zertifizierungsstellen ausgegeben werden, die sich nicht an die von den Browsern festgelegten Sicherheitsstandards halten müssen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Jeder EU-Staat könnte Zertifizierungsstellen ernennen 
  1. 1
  2. 2
  3.  
Aktuell auf der Startseite von Golem.de
Direkte-E-Fuel-Produktion
Porsches Masterplan hinter dem Verbrennerkompromiss

Der Sportwagenhersteller will künftig E-Fuels direkt im Fahrzeug produzieren. Dazu übernimmt Porsche das strauchelnde Start-up Sono Motors.
Ein Bericht von Friedhelm Greis

Direkte-E-Fuel-Produktion: Porsches Masterplan hinter dem Verbrennerkompromiss
Artikel
  1. BrouwUnie: Tesla verkauft Giga Bier zu einem stolzen Preis
    BrouwUnie
    Tesla verkauft Giga Bier zu einem stolzen Preis

    Tesla hat, wie von Elon Musk versprochen, nun eine eigene Biermarke im Angebot und verkauft drei Flaschen für knapp 90 Euro.

  2. Google: Ursache für Acropalypse-Lücke in Android seit Jahren bekannt
    Google
    Ursache für Acropalypse-Lücke in Android seit Jahren bekannt

    Eine wohl undokumentierte API-Änderung führte zu der Acropalypse-Sicherheitslücke. Das Problem dabei ist Google schon früh gemeldet worden.

  3. Automobil: Keine zwei Minuten, um einen Tesla Model 3 zu hacken
    Automobil
    Keine zwei Minuten, um einen Tesla Model 3 zu hacken

    Bei der Hacking-Konferenz Pwn2Own 2023 hat ein Forschungsteam keine zwei Minuten benötigt, um ein Tesla Model 3 zu hacken. Das brachte dem Team jede Menge Geld und einen neuen Tesla ein.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • ASUS VG27AQ1A QHD/170 Hz 269€ • Crucial P3 Plus 1 TB 60,98€ • ViewSonic VX3218-PC-MHDJ FHD/165 Hz 227,89€ • MindStar: be quiet! Pure Base 600 79€ • Alternate: Corsair Vengeance RGB 64-GB-Kit DDR5-6000 276,89€ und Weekend Sale • Elex II 12,99€ • 3 Spiele kaufen, 2 zahlen [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /