Domainsicherheit: SSL Zertifikate mit Identitätsnachweis
Secure-Sockets-Layer Zertifikate (SSL) sollen Nutzern mehr Transparenz und Sicherheit beim Surfen bieten. Durch Phishing-Mails, bei denen die Nutzer auf Fake-Domains geleitet und Ihrer Login-Daten beraubt werden, entsteht ein immer größerer Schaden. Oft sind auch diese Fake Sites zertifiziert. Deshalb fragen sich immer mehr Nutzer, wie sicher SSL Zertifikate mit Identitätsnachweis eigentlich sind und wie man sich vor Phishing schützen kann.
Welche SSL Zertifikate gibt es?
Bei SSL Zertifikaten erfolgt der Datentransfer zwischen Computer des Nutzers und Webseite grundsätzlich verschlüsselt. Die Zertifikate geben Auskunft über den Inhaber der Domain.
SSL Zertifikate werden in drei Sicherheitsniveaus ausgegeben. Die einfache Version ohne Informationen zum Inhaber oder Inhalt der Domain ist die Domain Validierung (DV). Sie gibt an, dass das entsprechende Zertifikat zur aufgerufenen Domain gehört.
Deutlich besser abgesichert sind organisationsvalidierte Zertifikate (OV). Der Domaininhaber hat vor der Erteilung dieses Zertifikats seinen Identität gegenüber einer unabhängigen Instanz nachgewiesen. In Deutschland legen Unternehmer meist Handelsregisterauszüge oder Gewerbescheine vor.
Die höchste Sicherheitsstufe haben validierte Zertifikate (Extended Validation, EV). Hier werden Domaincheck und Organisationsvalidierung durchgeführt. Zusätzlich muss der Antragsteller einen Identitäts- und Berechtigungsnachweis zum Erwerb des SSL Zertifikats erbringen.
Die Validierungen der OV und EV Zertifikate waren zuvor für Nutzer einsehbar und wurden per grünem Schloss und Unternehmensnamen in der Adresszeile gekennzeichnet. Doch vor kurzem wurden diese äußeren Merkmale von den großen Internetfirmen, u.a. Google, abgeschafft, da sie nicht „mehr notwendig“ seien. SSL ist zum Standard geworden und bedarf keiner besonderen Kennzeichnung mehr, so die Begründung. Google hat jetzt ein graues Schloss für Verschlüsselungen vor der URL, zeigt aber keine Hinweise mehr über die Sicherheitsstufe. Dafür werden nicht verschlüsselte Webseiten mit dem Warnhinweis „Nicht sicher“ belegt.
Kritiker weisen darauf hin, dass von „ Standard“ keine Rede sein könnte, da der Anteil der sicheren identitätsgeprüften Webseiten nur 6 % aller Zertifikate beträgt und die Nutzer also nie auf die Sicherheitsstufe durch entsprechende Kennzeichnung hingewiesen werden. Zudem zeigen verschiedene Stichproben in England und den USA, dass es einfach ist, ein Zertifikat zu erlangen – selbst ohne existierendes Unternehmen und mit bereits vorhandenem Namen. Trotzdem sind identitätsgeprüfte Webseiten deutlich sicherer, wie aktuelle Studien zeigen. Die Unternehmer möchten zur vorherigen Anzeige zurückkehren, damit Nutzer schneller erkennen können, wie sicher das SSL Zertifikat für die besuchte Webseite ist.