Dritte SSL-Generation hebt Online-Datensicherheit auf ein neues Level

Fast jeder Internet-Nutzer hat sie schon gesehen: Die dritte und neueste Generation der Datenverschlüsselung im Internet. Beim Einsatz der so genannten erweitert validierten SSL-Zertifikate (EV SSL) auf Websites färbt sich die Adressleiste des Browsers grün ein und signalisiert so dem Internet-Nutzer, dass er sich sicher sein kann, dass er seine Daten auf der Website eingibt, die er auch aufrufen wollte. „Mit EV SSL wurde die Online-Datensicherheit auf ein neues Level gehoben und für den Nutzer auch wesentlich besser visualisiert“, beschreibt Christian Heutger, Geschäftsführer der PSW GROUP, den Generationswechsel.

Die dritte Generation der Zertifikate ist das Ergebnis einer umfassenden Entwicklung, die SSL in den vergangenen 15 Jahren durchlaufen hat. Begonnen hatte alles mit „normalen“ SSL-Zertifikaten, die über Organisationsvalidierung anhand von Dokumenten und einem Verifikationsanruf ausgestellt werden. Als erste Anbieter beziehungsweise Zertifizierungsstellen traten der Netzwerk-Infrastruktur-Anbieter VeriSign sowie das Unternehmen thawte, das 1999 von VeriSign und schließlich 2010 vom IT-Sicherheitsunternehmen Symantec gekauft wurde, in den SSL-Markt ein. „thawte konnte sich schnell auf dem Markt etablieren. Als in Südafrika ansässiges Unternehmen konnte es die Preise seiner Wettbewerber um bis zu 50 Prozent unterbieten“, erklärt Christian Heutger.

Ebenfalls an der Preisschraube wollten GeoTrust und Comodo drehen, als sie um die Jahrtausendwende herum in den SSL-Markt eintraten. Lag die Validierung der durch die Zertifizierungsstellen (Certificate Authorities, CA) ausgegebenen Zertifikate bisher noch in deren Hände, übernahmen diese fortan die Reseller als so genannte Registry Authorities.
Es war auch die Geburtsstunde der unter Experten nicht ganz unumstrittenen zweiten Generation der SSL-Zertifikate.

„Die zweite Generation, die auf die Domainvalidierung unter Heranziehung der WHOIS-Einträge und einen automatisierten Verifikationsanruf mit PIN-Eingabe zurückgreift, ist aber eher als Rückschritt zu verstehen“, moniert der Internet Security-Experte die mindere Qualität der Validierung, die sich vor allem für Phisher als sehr nützlich erwies. Sie konnten mit den Domain-validierten SSL-Zertifikaten, die nur ausweisen, dass der Betreiber einer Domain auch der Inhaber der Domain ist, ihren seriösen Websites nachempfundenen Phishing-Seiten Vertrauenswürdigkeit bescheinigen. „Mit der zweiten Generation wurde lediglich die Ausstellung von Zertifikaten beschleunigt, dank schwacher Validierung von zwei bis drei Werktagen auf nur noch wenige Minuten“, so Christian Heutger.

Aus den Problemen der zweiten Generation lernten die Zertifizierungsstellen schnell und legten in Zusammenarbeit mit den Browser-Herstellern im Rahmen des CA/Browser-Forums (CAB-Forum) neue, einheitliche Validierungsstandards und mit diesen eine bessere Darstellung in den Browsern fest. Im Ergebnis stand dann mit den EV SSL-Zertifikaten die aktuelle dritte SSL-Generation, die beim Besuch von Websites die Einfärbung der Adressleiste im Browser bewirkt und sich mittlerweile zunehmender Beliebtheit erfreut. „Die Validierung ist wesentlich schärfer, so dass Phisher die SSL-Zertifikate der dritten Generation selbst nicht mehr für ihre Zwecke nutzen können. Sie müssten schon den Browser des Nutzers manipulieren, um aus der grünen Adressleiste Kapital schlagen zu können“, bemerkt der Experte.