So überprüfen Browser Website-Identitäten und schützen sie vor Betrügern
Haben Sie jemals bemerkt, dass Ihr Browser manchmal den Organisationsnamen einer Website auf einer verschlüsselten Website anzeigt? Dies ist ein Zeichen dafür, dass die Website über ein erweitertes Validierungszertifikat verfügt, das darauf hinweist, dass die Identität der Website überprüft wurde.
EV-Zertifikate bieten keine zusätzliche Verschlüsselungsstärke. Stattdessen weist ein EV-Zertifikat darauf hin, dass eine umfassende Überprüfung der Identität der Website stattgefunden hat. Standard-SSL-Zertifikate bieten kaum eine Überprüfung der Identität einer Website.
Wie Browser erweiterte Validierungszertifikate anzeigen
Auf einer verschlüsselten Website, die kein erweitertes Validierungszertifikat verwendet, gibt Firefox an, dass die Website "von (unbekannt) betrieben" wird.
Chrome zeigt nichts anderes an und gibt an, dass die Identität der Website von der Zertifizierungsstelle überprüft wurde, die das Zertifikat der Website ausgestellt hat.
Wenn Sie mit einer Website verbunden sind, die ein erweitertes Validierungszertifikat verwendet, teilt Firefox Ihnen mit, dass es von einer bestimmten Organisation betrieben wird. In diesem Dialog hat VeriSign bestätigt, dass wir mit der echten PayPal-Website verbunden sind, die von PayPal, Inc. betrieben wird.
Wenn Sie mit einer Site verbunden sind, die ein EV-Zertifikat in Chrome verwendet, wird der Name der Organisation in Ihrer Adressleiste angezeigt. Der Informationsdialog zeigt uns an, dass die Identität von PayPal von VeriSign mit einem erweiterten Validierungszertifikat überprüft wurde.
Das Problem mit SSL-Zertifikaten
Vor Jahren haben Zertifizierungsstellen vor der Ausstellung eines Zertifikats die Identität einer Website überprüft. Die Zertifizierungsstelle würde prüfen, ob das Unternehmen, das das Zertifikat anfordert, registriert wurde, die Telefonnummer anrufen und sicherstellen, dass es sich bei dem Unternehmen um einen legitimen Vorgang handelt, der mit der Website übereinstimmt.
Schließlich begannen die Zertifizierungsstellen, Zertifikate nur für Domänen anzubieten. Diese waren billiger, da die Zertifizierungsstelle weniger Arbeit benötigte, um schnell zu überprüfen, ob der Anforderer eine bestimmte Domain (Website) besaß..
Phisher begannen schließlich, dies auszunutzen. Ein Phisher könnte die Domain paypall.com registrieren und ein Zertifikat nur für Domains erwerben. Wenn ein Benutzer eine Verbindung zu paypall.com herstellt, zeigt der Browser des Benutzers das Standardsperrensymbol an und bietet so ein falsches Sicherheitsgefühl. Browser zeigten nicht den Unterschied zwischen einem Nur-Domänen-Zertifikat und einem Zertifikat, bei dem die Identität der Website umfassender überprüft wurde.
Das Vertrauen der Öffentlichkeit in Zertifizierungsstellen bei der Überprüfung von Websites ist zurückgegangen - dies ist nur ein Beispiel dafür, dass Zertifizierungsstellen ihre Sorgfaltspflicht nicht erfüllen. Im Jahr 2011 stellte die Electronic Frontier Foundation fest, dass die Zertifizierungsstellen mehr als 2000 Zertifikate für "localhost" ausgestellt hatten - ein Name, der sich immer auf Ihren aktuellen Computer bezieht. (Quelle) In den falschen Händen könnte ein solches Zertifikat Man-in-the-Middle-Angriffe erleichtern.
Wie unterscheiden sich erweiterte Validierungszertifikate?
Ein EV-Zertifikat gibt an, dass eine Zertifizierungsstelle bestätigt hat, dass die Website von einer bestimmten Organisation betrieben wird. Wenn zum Beispiel ein Phisher versucht hat, ein EV-Zertifikat für paypall.com zu erhalten, wird die Anfrage abgelehnt.
Im Gegensatz zu Standard-SSL-Zertifikaten dürfen nur Zertifizierungsstellen, die eine unabhängige Prüfung bestehen, EV-Zertifikate ausstellen. Das Certification Authority / Browser Forum (CA / Browser Forum), eine freiwillige Organisation von Zertifizierungsstellen und Browser-Anbietern wie Mozilla, Google, Apple und Microsoft, gibt strenge Richtlinien, denen alle Zertifizierungsstellen, die erweiterte Validierungszertifikate ausstellen, folgen müssen. Dies verhindert im Idealfall, dass die Zertifizierungsstellen ein weiteres "Rennen nach unten" unternehmen, bei dem sie laxe Überprüfungsverfahren anwenden, um günstigere Zertifikate anzubieten.
Kurz gesagt, die Richtlinien verlangen, dass die Zertifizierungsstellen überprüfen, ob die Organisation, die das Zertifikat anfordert, offiziell registriert ist, dass sie die betreffende Domäne besitzt und dass die Person, die das Zertifikat anfordert, im Namen der Organisation handelt. Dies umfasst die Überprüfung von Regierungsaufzeichnungen, die Kontaktaufnahme mit dem Besitzer der Domäne und die Kontaktaufnahme mit der Organisation, um zu überprüfen, ob die Person, die das Zertifikat anfordert, für die Organisation geeignet ist.
Im Gegensatz dazu kann bei einer Überprüfung von Zertifikaten nur für Domänen nur ein Blick auf die Whois-Einträge der Domäne erfolgen, um zu überprüfen, ob der Registrant dieselben Informationen verwendet. Die Ausstellung von Zertifikaten für Domänen wie „localhost“ impliziert, dass einige Zertifizierungsstellen nicht einmal so viele Überprüfungen durchführen. EV-Zertifikate sind im Wesentlichen ein Versuch, das Vertrauen der Öffentlichkeit in die Zertifizierungsstellen wiederherzustellen und ihre Rolle als Gatekeeper gegen Betrüger wiederherzustellen.