Kürzere Lebensdauer von Website-Zertifikaten

Nicht mehr, sondern weniger Internet-Sicherheit

Vertrauenswürdige Webseiten sind die Grundlage für eine sichere Online-Kommunikation und damit für das digitale Business. Wie wichtig dieser Zusammenhang ist, zeigte sich im Frühjahr dieses Jahres: Cyberkriminelle bauten für Corona-Soforthilfe-Anträge gefälschte Webseiten, die denen der Landesbehörden täuschend ähnlich waren. Einige  Antragsteller trugen dort ahnungslose ihre Daten ein.

Mit diesen Informationen stellten die Cyberkriminellen dann auf den Originalseiten Anträge und kassierten Gelder ab, die eigentlich für notleidende Selbstständige oder Unternehmen gedacht waren. Hunderte von Fake-Webseiten kursierten über mehrere Wochen im Netz; tausende von Antragstellern waren vom Datenmissbrauch betroffen. 

Anzeige

Technische Maßnahmen im Fokus

Wie lässt sich das Netz sicherer machen? Die Browserhersteller setzen bei diesem Thema vor allem auf technische Maßnahmen. Schwerpunkt ist der verschlüsselte Datentransfer zwischen Webseiten und dem Computer des Internet-Nutzers. Umgesetzt wird dies durch den Einsatz von SSL-/TLS-Zertifikaten. Zusätzlich zu einer verschlüsselten Kommunikation bieten sie einen weiteren Vorteil: Sie können über die Echtheit des Webservers und damit über die Identität des Webseitenbetreibers informieren. 

Die maximalen Laufzeiten von Webseitenzertifikaten wurden in den vergangenen Jahren immer kürzer. Noch bis 2015 galt eine Gültigkeitsdauer von bis zu fünf Jahren. Diese verringerte sich zunächst auf drei, dann auf zwei Jahre. Seit 1. September dürfen Zertifikate maximal 13 Monate (397 Tage) gültig sein. Die Browserhersteller versprechen sich davon mehr Sicherheit. Ihr Ziel ist es, dass Zertifikate in immer kürzeren Abständen ausgetauscht werden, idealerweise in wenigen Tagen. Damit einher geht die Hoffnung der  Browserhersteller, dass sie gänzlich auf die Zertifikatsvalidierung verzichten können, um die Geschwindigkeit ihrer Browser zu beschleunigen.

Studien widersprechen Argumentation der Browseranbieter

Dies erhöht jedoch für Nutzer das Risiko, Opfer von Phishing-Attacken zu werden. Eine aktuelle Studie der RWTH Aachen University kommt zu dem Ergebnis, dass für ein Optimum an Internet-Sicherheit nicht nur technische Maßnahmen notwendig sind, sondern auch ein Identitäts-Check bei Zertifikaten.

Anzeige

Aktuelle Studien kommen jedoch zu ganz anderen Schlussfolgerungen. Laut einer Untersuchung der RWTH Aachen nutzte jede zweite (49,4 Prozent) der 2018 entdeckten Phishing-Webseiten das HTTPS-Protokoll. Mit dem Hypertext Transfer Protocol Secure (HTTPS) lassen sich Daten verschlüsselt übertragen. Eine Verschlüsselung allein ist also kein Kennzeichen sicherer Webseiten. Dass kürzere Zertifikatslaufzeiten die Sicherheit verbessern, wird durch die Analyse ebenfalls nicht bestätigt. Im Gegenteil: Die Gültigkeitsdauer sicherer Webseiten ist mit durchschnittlich 412 Tagen länger als diejenige gefälschter Webseiten mit 252 Tagen. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Zertifikate mit Identitätsprüfung im Vorteil

Entscheidend ist vielmehr der eingesetzte Zertifikatstyp. Das geringste Sicherheitsniveau besitzt der sogenannte Domain-Validated-Typ (DV). DV-Zertifikate basieren auf einem vollautomatisierten Domain-Check, eine Identitätsprüfung findet nicht statt. Dies nutzen Cyberkriminelle für ihre Zwecke aus. Einer Studie des Sicherheitsdienstleisters Venafi zufolge hatten 85 Prozent der nachgebauten, kriminellen Webseiten ein DV-Zertifikat. 

Erheblich mehr Sicherheit gegen Fake-Webseiten und Datenklau bieten sogenannte organisationsvalidierte und erweitert validierte Zertifikate. Diese OV- und EV-Typen beinhalten zusätzlich zum Domain-Check eine gründliche Identitätsprüfung. In der Studie der RWTH Aachen betrug der Anteil der gefälschten Webseiten mit EV-Zertifikat lediglich 0,4 Prozent. 

Attraktivität identitätsgeprüfter Zertifikate wird abnehmen

Wer für mehr Sicherheit im Internet sorgen will, sollte deshalb die Verbreitung von Zertifikaten mit einem höheren Sicherheitsniveau fördern. Der Schritt der Browserhersteller, die Laufzeiten von Webseitenzertifikaten zu verkürzen, kann genau das Gegenteil bewirken. 

Denn im Vergleich zu DV-Zertifikaten erfordern OV-/EV-Zertifikate einen höheren Aufwand, der jetzt in immer kürzeren Abständen notwendig ist. Der Mehraufwand für Webseitenbetreiber bei Laufzeitverkürzungen lässt sich zwar durch automatisierte Prozesse vermeiden, doch kann dies in der Regel nur von Unternehmen mit spezialisierten IT-Abteilungen oder Dienstleistern umgesetzt werden. Es besteht die Gefahr, dass viele Onlineservice-Anbieter aufgrund des höheren Aufwands eher zu DV-Zertifikaten tendieren.

Verbraucherschutz in Europa stärken

Für weniger Internet-Sicherheit sorgt zudem die fehlende Anerkennung sogenannter qualifizierte Webseitenzertifikate (QWACs) durch die Browserhersteller. QWACs wurden bereits 2014 von der EU-Kommission eingeführt. Sie basieren auf einer gründlichen Identitätsprüfung durch einen qualifizierten Vertrauensdiensteanbieter (qVDA). Entsprechend vertrauenswürdig sind die im Zertifikat hinterlegten Informationen über die Identität des Website-Betreibers. Jedoch werden bis heute die QWACs in den gängigsten Browsern in großen Teilen weder verarbeitet, noch angezeigt. 

Der Bitkom fordert deshalb in einem jüngst erschienenen Positionspapier, dass die Browserhersteller endlich die QWACs verarbeiten und anzeigen. Wichtig dabei ist eine eindeutige Visualisierung zum Beispiel durch das “EU Trust Mark Logo”. Verbraucher könnten dann sofort erkennen, ob eine vertrauenswürdige Webseite vorliegt oder nicht – ein wichtiger Beitrag für den Verbraucherschutz und Internet-Sicherheit in Europa.

Kim

Nguyen

Geschäftsführer

D-TRUST

Dr. Kim Nguyen ist Geschäftsführer bei D-Trust. Die D-Trust GmbH mit Sitz in Berlin ist ein Unternehmen der Bundesdruckerei-Gruppe. Technologisch ausgereifte Lösungen machen es zu einem Vorreiter für sichere digitale Identitäten. So stärkt das Unternehmen das Vertrauen in die Digitalisierung. Als unabhängiger und qualifizierter Vertrauensdiensteanbieter ist D-Trust bereits seit
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.