Haben Sie jemals bemerkt, dass Ihr Browser manchmal den Organisationsnamen einer Website auf einer verschlüsselten Website anzeigt? Dies ist ein Zeichen dafür, dass die Website über ein erweitertes Validierungszertifikat verfügt, das angibt, dass die Identität der Website überprüft wurde.
EV-Zertifikate bieten keine zusätzliche Verschlüsselungsstärke. Stattdessen zeigt ein EV-Zertifikat an, dass eine umfassende Überprüfung der Identität der Website stattgefunden hat. Standard-SSL-Zertifikate bieten nur eine sehr geringe Überprüfung der Identität einer Website.
Wie Browser erweiterte Validierungszertifikate anzeigen
Auf einer verschlüsselten Website, die kein erweitertes Validierungszertifikat verwendet, gibt Firefox an, dass die Website von (unbekannt) betrieben wird.
Chrome zeigt nichts anders an und gibt an, dass die Identität der Website von der Zertifizierungsstelle überprüft wurde, die das Zertifikat der Website ausgestellt hat.
Wenn Sie mit einer Website verbunden sind, die ein erweitertes Validierungszertifikat verwendet, teilt Firefox Ihnen mit, dass es von einer bestimmten Organisation ausgeführt wird. In diesem Dialogfeld hat VeriSign überprüft, ob wir mit der echten PayPal-Website verbunden sind, die von PayPal, Inc. betrieben wird.
Wenn Sie mit einer Site verbunden sind, die ein EV-Zertifikat in Chrome verwendet, wird der Name der Organisation in Ihrer Adressleiste angezeigt. Der Informationsdialog zeigt an, dass die Identität von PayPal von VeriSign mithilfe eines erweiterten Validierungszertifikats überprüft wurde.
Das Problem mit SSL-Zertifikaten
Vor Jahren überprüften die Zertifizierungsstellen die Identität einer Website, bevor sie ein Zertifikat ausstellten. Die Zertifizierungsstelle prüft, ob das Unternehmen, das das Zertifikat anfordert, registriert ist, ruft die Telefonnummer an und stellt sicher, dass es sich bei dem Unternehmen um einen legitimen Vorgang handelt, der mit der Website übereinstimmt.
Schließlich begannen die Zertifizierungsstellen, «Nur-Domain» -Zertifikate anzubieten. Diese waren billiger, da die Zertifizierungsstelle weniger Arbeit benötigte, um schnell zu überprüfen, ob der Anforderer eine bestimmte Domain (Website) besaß.
Phisher nutzten dies schließlich aus. Ein Phisher könnte die Domain paypall.com registrieren und ein Nur-Domain-Zertifikat erwerben. Wenn ein Benutzer mit paypall.com verbunden ist, zeigt der Browser des Benutzers das Standard-Schlosssymbol an, was ein falsches Sicherheitsgefühl vermittelt. Browser haben den Unterschied zwischen einem Nur-Domain-Zertifikat und einem Zertifikat, bei dem die Identität der Website eingehender überprüft wurde, nicht angezeigt.
Das Vertrauen der Öffentlichkeit in die Zertifizierungsstellen zur Überprüfung von Websites ist gesunken – dies ist nur ein Beispiel dafür, dass Zertifizierungsstellen ihre Due Diligence nicht durchführen. Im Jahr 2011 stellte die Electronic Frontier Foundation fest, dass die Zertifizierungsstellen über 2000 Zertifikate für „localhost“ ausgestellt hatten – ein Name, der sich immer auf Ihren aktuellen Computer bezieht. (Quelle) In den falschen Händen könnte ein solches Zertifikat Man-in-the-Middle-Angriffe erleichtern.
Wie sich erweiterte Validierungszertifikate unterscheiden
Ein EV-Zertifikat zeigt an, dass eine Zertifizierungsstelle überprüft hat, ob die Website von einer bestimmten Organisation betrieben wird. Wenn beispielsweise ein Phisher versucht, ein EV-Zertifikat für paypall.com zu erhalten, wird die Anforderung abgelehnt.
Im Gegensatz zu Standard-SSL-Zertifikaten dürfen nur Zertifizierungsstellen, die eine unabhängige Prüfung bestehen, EV-Zertifikate ausstellen. Die Zertifizierungsstelle / das Browser-Forum (CA / Browser-Forum), eine freiwillige Organisation von Zertifizierungsstellen und Browser-Anbietern wie Mozilla, Google, Apple und Microsoft strenge Richtlinien dass alle Zertifizierungsstellen, die erweiterte Validierungszertifikate ausstellen, folgen müssen. Dies verhindert im Idealfall, dass sich die Zertifizierungsstellen auf einen weiteren „Wettlauf nach unten“ einlassen, bei dem sie laxe Überprüfungspraktiken anwenden, um billigere Zertifikate anzubieten.
Kurz gesagt, die Richtlinien verlangen, dass die Zertifizierungsstellen überprüfen, ob die Organisation, die das Zertifikat anfordert, offiziell registriert ist, dass sie die betreffende Domain besitzt und dass die Person, die das Zertifikat anfordert, im Namen der Organisation handelt. Dazu müssen Sie die Regierungsunterlagen überprüfen, den Eigentümer der Domain kontaktieren und die Organisation kontaktieren, um zu überprüfen, ob die Person, die das Zertifikat anfordert, für die Organisation funktioniert.
Im Gegensatz dazu beinhaltet eine Überprüfung eines Nur-Domain-Zertifikats möglicherweise nur einen Blick auf die Whois-Datensätze der Domain, um zu überprüfen, ob der Registrant dieselben Informationen verwendet. Die Ausstellung von Zertifikaten für Domänen wie «localhost» impliziert, dass einige Zertifizierungsstellen nicht einmal so viele Überprüfungen durchführen. EV-Zertifikate sind im Grunde genommen ein Versuch, das Vertrauen der Öffentlichkeit in die Zertifizierungsstellen wiederherzustellen und ihre Rolle als Gatekeeper gegen Betrüger wiederherzustellen.