SSL-Zertifikate: Drei Gründe, warum die grünen Vorhängeschlösser bleiben müssen

SSL-Zertifikate: drei Gründe, warum die grünen Vorhängeschlösser bleiben müssen

Das US-amerikanische Unternehmen Google hat die visuellen Hinweise auf die verschiedenen Sicherheitsstufen von SSL-Zertifikaten abgeschafft. Unser Experte Dr. Kim Nguyen nennt drei Gründe, warum aus dieser Entscheidung negative Konsequenzen für den Verbraucherschutz und den europäischen digitalen Binnenmarkt drohen.

Verschlüsselte Webseiten-Kommunikation im Fokus

SSL-Zertifikate sind ein wichtiges Instrument für die Internetsicherheit. Sie ermöglichen einen verschlüsselten Datentransfer zwischen dem Computer des Internetnutzers und Webseiten, beispielsweise, wenn persönliche Daten über ein Web-Formular übermittelt werden. Im Google-Browser „Chrome“ etwa werden Webseiten ohne SSL-Zertifikate als „nicht sicher“ gekennzeichnet.

Dr. Kim Nguyen, Geschäftsführer der D-TRUST GmbH

Dr. Kim Nguyen, Geschäftsführer der D-TRUST GmbH

Gleichzeitig ignoriert Google die bestehenden Sicherheitsunterschiede zwischen den verschiedenen Zertifikatstypen. Hinweise, an denen Anwender das Sicherheitsniveau bisher in der Adresszeile des Browsers erkennen konnten, sind entfernt worden. Das sind zum Beispiel ein grünes Vorhängeschloss in der Browser-Zeile oder der Unternehmensname in grüner Schrift. Zudem entfällt künftig der Texthinweis „sicher”, und es wird dann nur noch ein graues Schloss angezeigt.

SSL-Zertifikat ist nicht gleich SSL-Zertifikat

Google argumentiert, dass das Web „standardmäßig” sicher ist („Safe by Default“). Es sei deshalb nicht mehr nötig, dass der Chrome-Browser verschlüsselte und damit sichere Webseiten besonders kennzeichne. Doch das ist ein Irrtum. Denn SSL-Zertifikat ist nicht gleich SSL-Zertifikat. Alle Zertifikatstypen verschlüsseln zwar die Kommunikation zwischen Internetnutzer und Webseite, unterscheiden sich aber gravierend in der Art der Identitätsfeststellung. Aus unserer Sicht gibt es drei Gründe, warum die Vorhängeschlösser bleiben müssen:

Grund 1: Es gibt verschiedene Sicherheitsstufen bei Zertifikaten

Aktuell am verbreitetsten sind Zertifikate mit „Domain Validation (DV)”. Sie bieten die niedrigste Sicherheitsstufe. Die ausgebende Zertifizierungsstelle prüft bei diesem Zertifikatstyp lediglich, ob der Auftraggeber auch Inhaber der Domain ist. Seine Identität muss der Antragsteller nicht nachweisen.

Allein im April 2018 hat die Webseite „Phishbank.org“ über 3.200 Webseiten mit SSL-Zertifikaten identifiziert, die zum Datenmissbrauch genutzt wurden. Bei 99 Prozent wurden DV-Zertifikate eingesetzt.

Eine Identitätsprüfung findet bei sogenannten organisationsvalidierten SSL-Zertifikaten (Organization Validation, abgekürzt: OV) statt. Hier muss der Inhaber der Domain Dokumente wie einen Handelsregisterauszug vorlegen.

Noch einen Schritt weiter gehen erweitert validierte Zertifikate (Extended Validation, kurz: EV). Zusätzlich zur Organisationsvalidierung erfordern sie einen individuellen Identitätsnachweis des Antragstellers. Dabei wird geprüft, ob diese Person tatsächlich bei der Organisation angestellt ist und ein EV-Zertifikat erwerben darf.

Die Praxis zeigt: Ohne Identitätsnachweise sind Webseiten unsicher. Allein im April 2018 hat die Webseite „Phishbank.org“ über 3.200 Webseiten mit SSL-Zertifikaten identifiziert, die zum Datenmissbrauch genutzt wurden. Bei 99 Prozent wurden DV-Zertifikate eingesetzt.

Grund 2: Der Verbraucherschutz wird geschwächt

Soll die Webseitenkommunikation sicherer werden, genügt es nicht, die Anzahl der genutzten SSL-Zertifikate zu erhöhen. Nur mit OV-/EV-Zertifikaten können Internetnutzer darauf vertrauen, dass die aufgerufene Webseite auch wirklich sicher ist und persönliche Daten ohne Bedenken mitgeteilt werden können. Ziel muss daher sein, den Einsatz von Zertifikaten mit hohem Sicherheitsniveau zu fördern.

Durch den Wegfall der „positiven Sicherheitsindikatoren” sinkt der Anreiz für Webseitenbetreiber, solche sicheren Zertifikate einzusetzen.

Googles Maßnahmen führen jedoch genau zum Gegenteil. Durch den Wegfall der „positiven Sicherheitsindikatoren” sinkt der Anreiz für Webseitenbetreiber, solche sicheren Zertifikate einzusetzen. Zumal der Internetanwender Webseiten mit OV-Zertifikaten nur sehr mühsam erkennen kann. Dazu muss er auf das graue Schloss-Symbol ganz links in der Browserzeile klicken und dann im aufgeklappten Menü „Zertifikat“ wählen. Bisher konnten Internetuser über die Positivfarbe „Grün” und den aufgeführten Unternehmensnamen schnell erkennen, welche Organisation hinter der Webseite steht. Dies ist nun nicht mehr möglich. Damit verliert der Internetnutzer eine wichtige Orientierungshilfe.

Grund 3: Europäische Standards können sich nicht etablieren

Die europäische „Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS)” will eine sichere und vertrauenswürdige elektronische Kommunikation im gesamten EU-Raum ermöglichen. Hierfür wurden neue Werkzeuge geschaffen, darunter das qualifizierte Webseitenzertifikat (Qualified Website Authentication Certificates, abgekürzt: QWACs). Technisch entsprechen QWACs den EV-Zertifikaten. Hinzu kommt eine hohe Rechtsverbindlichkeit in der gesamten EU: Die im Zertifikat bereitgestellten Inhalte über die Identität des Inhabers können vor Gericht als Beweismittel eingebracht werden.

Für einen starken Verbraucherschutz und für einen erfolgreichen digitalen Binnenmarkt heißt deshalb die Forderung: Das Sicherheitsniveau von SSL-Zertifikaten muss sichtbar bleiben.

QWACs dürfen nur von sogenannten „qualifizierten Vertrauensdiensteanbietern” mit Sitz in der EU herausgegeben werden. Darunter versteht die Verordnung besonders vertrauenswürdige Zertifizierungsstellen, die verschärfte Bestimmungen zu Sicherheit und Haftung erfüllen müssen. Da für Internetanwender künftig nicht mehr sichtbar wäre, welches Zertifikat eingesetzt wird, ist zu erwarten, dass das Interesse von Websiteanbietern an QWACs abnimmt. Dann aber können sich europäische Standards nicht mehr etablieren und die europäischen Vertrauensdiensteanbieter würden an den Rand gedrängt.

Für einen starken Verbraucherschutz und für einen erfolgreichen digitalen Binnenmarkt heißt deshalb die Forderung: Das Sicherheitsniveau von SSL-Zertifikaten muss sichtbar bleiben.

Presse

Von Vorhängeschlössern und grünen Unternehmensnamen: So sichern Zertifikate Webseiten

Digitale Sicherheit

Business is global, trust is local

Dr. Kim Nguyen, Fellow der Bundesdruckerei und Geschäftsführer der D-TRUST GmbH, erklärt, welche Rolle Vertrauensdiensteanbieter bei der digitalen Transformation von Gesellschaft und Wirtschaft spielen.