Website-Zertifikate: Browserhersteller schwächen Verbraucherschutz
- Seit September verkürzte Laufzeiten von Zertifikaten: Angebote mit niedrigem Sicherheitsniveau profitieren
- Browserhersteller erkennen noch immer nicht das qualifizierte Webseitenzertifikat der EU an
- Beispiel für mangelnde digitale Souveränität Europas
- Betrug mit Phishing-Webseiten bei Corona-Soforthilfe hätte mit neuen Zertifikatstypen weitgehend verhindert werden können
Berlin, 21. September 2020 – Seit September gelten neue verkürzte Laufzeiten für TLS-Zertifikate, mit denen Webseiten abgesichert werden. Diese dürfen nun maximal 13 Monate (397 Tage) gültig sein. Die Browserhersteller versprechen sich davon mehr Sicherheit. Dr. Kim Nguyen, Geschäftsführer von D-TRUST, einem Unternehmen der Bundesdruckerei und Anbieter digitaler Zertifikate, ist jedoch skeptisch: „Kürzere Laufzeiten von Website-Zertifikaten können sogar zu mehr Unsicherheit im Netz führen: Eine reduzierte Gültigkeitsdauer für alle Zertifikatstypen verringert aufgrund des zusätzlichen Aufwands die Attraktivität von TLS-Zertifikaten mit Identitätsprüfung.“ Wie wichtig deren Beitrag für eine sichere Online-Kommunikation ist, zeigt der Betrug bei den Corona-Soforthilfe-Anträgen im Frühjahr dieses Jahres. Der Einsatz identitätsgeprüfter Zertifikate hätte mit hoher Wahrscheinlichkeit einen Missbrauch verhindert: Die Antragsteller hätten laut Nguyen über die Anzeige der Zertifikatsinformationen feststellen können, ob sie sich auf einer vertrauenswürdigen Behörden-Webseite befinden – oder einer Phishing-Seite von Betrügern. Zudem weist Nguyen auf die politische Dimension der Verkürzung hin: „Europa setzt bei der Internet-Sicherheit auf Zertifikate mit einer gründlichen Identitätsprüfung und hoher Rechtsverbindlichkeit – von der nun vorgegebenen Verkürzung profitieren jedoch vor allem Angebote mit niedrigem Sicherheitsniveau, für den Anwender sinkt der Verbraucherschutz.“
Browserhersteller haben Verkürzung vorgegeben
Die Entscheidung für verkürzte Laufzeiten von TLS-Zertifikaten wurde vom CA/Browser-Forum im Juli 2020 getroffen. Das Forum ist eine Plattform für den Austausch zwischen Zertifikatsanwendern – also beispielsweise den großen Browserherstellern aus den USA – und den sogenannten Certificate Authorities (CA), die Zertifikate ausstellen. Anfangs von einem Browser-Hersteller forciert, ist das gesamte Forum auf starken Druck der anderen Browseranbieter auf diesen Kurs eingeschwenkt. „D-TRUST als europäischer CA ist von der Laufzeitverkürzung betroffen: Wir verstehen uns als Anbieter von Zertifikaten mit den höchsten Sicherheitsniveaus, also ausführlicher Identitätsprüfung – diese werden jetzt für Anwender unattraktiver“, erläutert Nguyen.
D-TRUST konzentriert sich auf organisationsvalidierte und erweitert validierte Zertifikate mit Identitätsinformationen (OV-, EV- und QWAC-Zertifikate). Hierbei wird die Identität des Webseitenbetreibers gründlich geprüft. Das erfordert einen höheren Aufwand, der jetzt in immer kürzeren Abständen notwendig ist. Der Mehraufwand für Webseitenbetreiber bei Laufzeitverkürzungen lässt sich zwar durch automatisierte Prozesse vermeiden, doch kann dies in der Regel nur von Unternehmen mit spezialisierten IT-Abteilungen oder Dienstleistern umgesetzt werden. Es besteht daher die Gefahr, dass Anwender aufgrund des höheren Aufwands eher zu sogenannten domainvalidierten Zertifikaten (DV-Zertifikate) tendieren. Bei DV-Zertifikaten wird die Identität des Antragstellers im Antragsprozess nicht überprüft.
Studie widerspricht Argumentation der Browseranbieter
Bei der Internet-Sicherheit konzentrieren sich die Browserhersteller auf die technischen Aspekte. Im Mittelpunkt steht dabei der verschlüsselte Datentransfer zwischen Webseiten und dem Computer des Internet-Nutzers. Kürzere Laufzeiten verringerten laut Browserhersteller allgemein das Zeitfenster, in denen TLS-Zertifikate gefährdet sind oder missbraucht werden können. Langfristig erhoffen sich die Browser davon, dass sie gänzlich auf die Zertifikatvalidierung verzichten können, um die Geschwindigkeit der Browser zu beschleunigen. Dies erhöht jedoch nach Ansicht von Nguyen für Nutzer das Risiko, Opfer von Phishing-Attacken zu werden.
Unterstützt wird dieses Argument durch eine aktuelle Studie der RWTH Aachen University. Deren Ergebnisse verdeutlichen, dass für ein Optimum an Internet-Sicherheit nicht nur technische Maßnahmen notwendig sind, sondern auch ein Identitäts-Check bei Zertifikaten. Laut der Studie nutzten 49,4 Prozent der in 2018 entdeckten Phishing-Webseiten das HTTPS-Protokoll. HTTPS-Webseiten übertragen die Daten verschlüsselt und signalisieren dem User damit Sicherheit. Eine Verschlüsselung allein ist also kein Kennzeichen sicherer Webseiten. Dass kürzere Zertifikatslaufzeiten die Sicherheit verbessern, wird durch die Analyse ebenfalls nicht bestätigt. Im Gegenteil: Die Gültigkeitsdauer sicherer Webseiten ist mit durchschnittlich 412 Tagen länger als diejenige gefälschter Webseiten mit 252 Tagen. Auch bei der ausgewählten Methode der Identitätsprüfung gibt es ein eindeutiges Ergebnis: 84,6 Prozent der Phishing-Angriffe werden über Webseiten durchgeführt, die entweder ausschließlich DV-Zertifikate oder gar keine Zertifikate enthalten. Hingegen besaßen nur 0,4 Prozent der gefälschten Webseiten ein EV-Zertifikat mit umfangreicher Identitätsprüfung.
Mehr europäische Unabhängigkeit von den Browserherstellern
Die EU-Kommission hat deshalb bereits 2014 in der Verordnung über elektronische Identifizierung und Vertrauensdienste das qualifizierte Webseitenzertifikat (QWAC) definiert. Ziel ist es, in ganz Europa eine sichere und vertrauenswürdige elektronische Kommunikation zu etablieren.
Allerdings erkennen die Browserhersteller QWACs bislang nicht an: Diese besonders sicheren Website-Zertifikate werden weder verarbeitet, noch im Browser angezeigt. Jetzt kommen zusätzlich die kürzeren Laufzeiten hinzu, die den Trend hin zu Zertifikaten ohne Identitätsnachweis verstärken. „Das Vorgehen von Google und Co. beim Umgang mit Website-Zertifikaten zeigt, dass eine starke Abhängigkeit der digitalen Sicherheitsinfrastrukturen in Europa von den Browserherstellern besteht“, so Nguyen.
Es gilt viel mehr, die digitale Souveränität Europas zu stärken. Browserhersteller müssen endlich die Verarbeitung und Anzeige der QWACs unterstützen. Wichtig wäre es zudem, den Sicherheitsstatus der QWACs verlässlich zu visualisieren, zum Beispiel durch das „EU Trust Mark Logo“. Diese Lösungsvorschläge werden auch vom Digitalverband Bitkom geteilt, der jüngst ein umfangreiches Positionspapier zum Thema veröffentlichte.