QWACs: EU-Plan "würde Websicherheit dramatisch schwächen"

Ein Plan der EU-Kommission sieht vor, Browsern eine Bevorzugung "qualifizierter" Webzertifikate vorzuschreiben - mit niedrigeren Sicherheitsstandards.

Artikel von veröffentlicht am
QWACs heißt ein Konzept der EU für spezielle Webseiten-Zertifikate - namhafte Wissenschaftlerinnen und Wissenschaftler warnen jetzt davor.
QWACs heißt ein Konzept der EU für spezielle Webseiten-Zertifikate - namhafte Wissenschaftlerinnen und Wissenschaftler warnen jetzt davor. (Bild: Sergey Korovkin 84/Wikimedia Commons/CC-BY-SA 4.0)

In einem offenen Brief warnen Wissenschaftlerinnen und Wissenschaftler die EU, dass eine geplante Regulierung von Webseitenzertifikaten "die Websicherheit dramatisch schwächen würde". Unterzeichnet wurde der von Mozilla organisierte offene Brief von einigen der führenden Forscher in Sachen Kryptographie und TLS-Sicherheit.

Inhalt:
  1. QWACs: EU-Plan "würde Websicherheit dramatisch schwächen"
  2. Jeder EU-Staat könnte Zertifizierungsstellen ernennen

Im Rahmen des Digital Identity Framework plant die EU weitreichende regulative Eingriffe in den Umgang der Webbrowser mit TLS-Zertifikaten. Kern des Vorschlags sind spezielle Zertifikate, die als Qualified Web Authentication Certificates oder QWACs bezeichnet werden.

QWACs basiert dabei im Kern auf einer alten Idee, die eigentlich bereits als obsolet galt: sogenannte Extended-Validation- oder EV-Zertifikate. Diese Zertifikate enthalten neben dem Domainnamen einer Webseite auch den Firmennamen und weitere Informationen wie die Adresse des Betreibers. Früher zeigten Webbrowser bei solch einem EV-Zertifikat den Firmennamen neben der Adresszeile in grün an.

EV galt als gescheitertes Konzept

EV-Zertifikate sind deutlich teurer und wurden in der Vergangenheit damit beworben, dass sie etwa einen Schutz gegen Phishing bieten. Die Idee dabei: Ein Nutzer bemerkt den grünen Firmennamen und würde beim Fehlen seine Zugangsdaten nicht eingeben.

Stellenmarkt
  1. Projektmanager (w/m/d)
    SSI SCHÄFER Automation GmbH, Giebelstadt
  2. System Administrator Infrastructure (m/f/d)
    CETITEC GmbH, Pforzheim
Detailsuche

Letztendlich basiert das ganze Konzept von EV darauf, dass Nutzer eben genau dies bemerken würden. Nur hat sich das in der Praxis als nicht haltbar herausgestellt. In Studien bemerkten die meisten Nutzer keinen Unterschied und große Webseiten - beispielsweise Facebook - hatten zeitweise EV eingeführt und dann wieder abgeschafft, ohne dass das groß bemerkt worden wäre.

Ein weiteres Problem: Firmennamen sind nicht eindeutig. Der IT-Sicherheitsexperte Ian Carroll hatte sich, um das zu demonstrieren, zeitweise EV-Zertifikate für die Firma Stripe ausstellen lassen. Dabei handelte es sich aber nicht um den bekannten Zahlungsdienstleister, Carroll hatte schlicht selbst eine Firma unter demselben Namen registrieren lassen. Dazu kommt: EV-Zertifikate lassen sich nicht automatisiert ausstellen und müssen manuell erneuert werden - was immer wieder dazu führt, dass das Neuausstellen vergessen wird.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

All das hatte dazu geführt, dass die Browserhersteller sich entschieden, die Sonderbehandlung für EV-Zertifikate abzuschaffen. Sie können zwar weiterhin ausgestellt und gekauft werden, sie führen aber nicht mehr zu einer gesonderten grünen Anzeige im Browser.

Mit QWACs soll nun, so der Vorwurf den beispielsweise Mozilla erhebt, dieses eigentlich längst gescheiterte Konzept wiederbelebt werden. Browser wären verpflichtet, diese speziellen, teureren Zertifikate gesondert darzustellen.

Doch das ist nicht das einzige Problem mit dem Vorschlag. Die QWACs-Zertifikate sollen zudem von Zertifizierungsstellen ausgegeben werden, die sich nicht an die von den Browsern festgelegten Sicherheitsstandards halten müssen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Jeder EU-Staat könnte Zertifizierungsstellen ernennen 
  1. 1
  2. 2
  3.  


F.Nixda 04. Mär 2022

Wahrscheinlich hat sich da eine Gruppe von vergreisten Abgeordneten mal wieder bei Sekt...

IrgendeinNutzer 03. Mär 2022

Warum?

Iruwen 03. Mär 2022

Google könnte in dem Fall ja nicht mehr damit drohen, die entsprechenden CAs zu sperren...



Aktuell auf der Startseite von Golem.de
Entwickler im Ukrainekrieg
"Es ist schwierig, aber das Team unterstützt mich"

Bereits im März sprach Golem.de mit zwei IT-Fachkräften aus Kyjiw. So geht es ihnen jetzt, mehr als zwei Monate nach Beginn des Ukrainekriegs.
Ein Bericht von Daniel Ziegener

Entwickler im Ukrainekrieg: Es ist schwierig, aber das Team unterstützt mich
Artikel
  1. Raumfahrt: Starliner fliegt nach mehr als zwei Jahren zum zweiten Mal
    Raumfahrt
    Starliner fliegt nach mehr als zwei Jahren zum zweiten Mal

    Nach einem fehlgeschlagenen Testflug, klemmenden Treibstoffventilen und vielen Verzögerungen ist Boeings Starliner erfolgreich abgehoben.
    Von Frank Wunderlich-Pfeiffer

  2. Kitty Lixo: Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten
    Kitty Lixo
    Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten

    Laut einer Sexdarstellerin muss man nur die richtigen Leute bei Facebook sehr intim kennen, um seinen Instagram-Account immer wieder zurückzubekommen.

  3. DIY-Notebook: Der Framework Laptop bekommt Alder Lake und Ethernet
    DIY-Notebook
    Der Framework Laptop bekommt Alder Lake und Ethernet

    Die neue Generation des Framework Laptop mit Alder-Lake-Chip und ein RJ45-Anschluss kommen. Die Mainboards sind auch einzeln bestellbar.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • Inno3D RTX 3070 günstig wie nie: 614€ • Kingston SSD 2TB günstig wie nie: 129,90€ • MindStar (u. a. Palit RTX 3050 339€) • Samsung Soundbar + Subwoofer 3.1.2 wireless günstig wie nie: 228,52€ • PNY RTX 3080 12GB günstig wie nie: 974€ • Dualsense + 1TB-SSD 176,58€ [Werbung]
    •  /