SSL-Zertifikate: Ist sicher wirklich sicher?

Die Darstellung von SSL-Zertifikaten hat sich in einigen Browsern leider in letzter Zeit nicht zum Besten entwickelt; langjährige Sensibilisierungsmaßnahmen müssen nun neu überdacht werden. Wann ist sicher wirklich sicher? Ein Statement.

Gibt es eine falsche Sicherheit bei SSL-Zertifikate?

Einige Browser wiegen ihre Nutzer in einer vermeintlichen Sicherheit, die jedoch bedauerlicherweise nicht gegeben ist. Diese Browser zeigen „https“ sowie ein „Sicher“ an. Google möchte diese Praxis ändern, wir berichteten. Schaut man auf die Support-Seiten verschiedener Browser, zeigt sich:

Selbst in den herstellereigenen Erklärungen wird dargelegt, dass „Sicher“ nicht wirklich sicher ist, denn eine wichtige Komponente von SSL-Zertifikaten gerät massiv ins Hintertreffen: Eine zuverlässige und ausreichende Validierung. Früher gab es selbst für die einfachste Validierung weitere Sicherheitsmaßnahmen. In letzter Zeit jedoch hat die Anzahl zertifizierter Phishing-Sites massiv zugenommen – sowohl durch den einfachen Zugang zu SSL-Zertifikaten, als auch dadurch, dass die Browser soeben ohne Verschlüsselung auffallend warnen.

Erweitert validierte SSL-Zertifikate bieten mehr

Den meisten Usern ist leider nicht klar, dass es etwas Besseres als „Sicher“ gibt. Erweitert validierte (EV) SSL-Zertifikate zeigen nämlich die validierte Firma an. Natürlich: auch hier können Fehler passieren. Jedoch wird stetig an dem Verfahren gefeilt. Es existiert sogar eine europäische Alternative, mit sehr hohen Barrieren und sehr geringen Möglichkeiten des Missbrauchs.

Daneben gibt es noch das Add-on „Web of Trust“, welches jedoch in der Vergangenheit in Verruf geraten ist. Webutation ist eine Alternative. Nachteil ist hier jedoch, dass die Anzeigen von der Community getragen werden. Man kennt auch die klassischen Microjobs, bei denen man sich Likes auf sozialen Netzwerken für schmales Geld kaufen kann. Hier liegt nahe, dass dem Missbrauch Tür und Tor geöffnet wird. Immer dann, wenn nicht etwa ein vertrauenswürdiger Dritter, sondern die Massen entscheiden sollen. Ähnliche Manipulationen kennt man auch bei diversen Bewertungsportalen – sie sind stets ein Katz-und-Maus-Spiel.

Augen auf im World Wide Web!

Wir können Nutzern nur einen Rat geben: Augen auf beim Surfen im World Wide Web! Achten Sie bitte auf die Namensnennung der Organisation in der Adressleiste. Lassen Sie sich nicht von „https“ und „Sicher“ ins Bockshorn jagen!

Die Änderungen der Browserhersteller zeigen, dass alte Sensibilisierungsmaßnahmen überdacht und entsprechend angepasst werden müssen. Für Mozillas Firefox existierte ein Plug-in, welches vor geänderten SSL-Zertifikaten gewarnt hat. Leider hat es dieses Plug-in nicht in die neue Version geschafft. Es würde bei manchen Zertifizierungsstellen auch nichts mehr helfen.

Die Neuaustellungen der SSL-Zertifikate weisen eine höhere Rotation auf, weshalb die Prüfung des Fingerprints auch keine Alternative mehr darstellt, denn dieser ändert sich natürlich im gleichen Intervall. Die enttäuschenderweise sehr eingeschränkte Sicht der Browser-Entwickler wird hier zunehmend auf dem Rücken der Nutzer ausgetragen.

Verschlüsseltes Web wird gelobt

Da nützt es leider auch nichts, wenn Google seine Transparenzberichte feiert, die zeigen, dass sich HTTPS immer mehr durchsetzt. Eine Vielzahl der Sites ist mit kostenlosen SSL-Zertifikaten ausgerüstet, die nur wenige Monate gültig sind. Kostenlos bedeutet, dass keine umfassende Validierung stattfinden kann – denn die kostet nun einmal Geld. Die Browser-Entwickler machen es sich einfach, indem sie alles, was verschlüsselt ist – egal wie – als sicher darstellen. Am Nutzer ist es nun, herauszufinden, wie sicher „Sicher“ wirklich ist.

Lassen Sie sich nicht täuschen! Achten Sie darauf, dass der Name der Organisation in der Adressleiste steht und sich diese idealerweise grün färbt. Setzen Sie sich mit den Erklärungen Ihres Browser-Herstellers auseinander, um herauszufinden, wann „Sicher“ wirklich sicher ist!