Thought Leadership
Aktuell hatte DigiCert für Schlagzeilen gesorgt, weil es Web-Administratoren überall auf der Welt innerhalb von wenigen Tagen vor die Herausforderung stellte insgesamt 50.000 Extended Validation (EV)-Zertifikate von 14 seiner Partner auszutauschen. Let’s Encrypt hatte diese Übung ebenfalls im März dieses Jahres mit drei Millionen Zertifikaten durchführen lassen.
Web-Administratoren müssen nun mit einer großen Anzahl von Unternehmen und Dritten zusammenarbeiten, um den manuellen Austausch vorzunehmen. Das ist das größte Problem, die Zertifikate müssen allesamt manuell ausgetauscht werden und auch der Prozesse der Implementierung eines neuen Zertifikats ist ebenso manuell auszuführen. Das ist in der Kürze der Zeit eine Kraftanstrengung, zumal der finale Tag ein Samstag war.
Wer nicht weiß, wo welches Zertifikat verwendet wird und zu welchem Zweck, kann es auch nicht austauschen. Die Folge wäre dann der Ausfall einer Webseite oder eines Webservices, was in aktuellen Zeiten ein No Go ist.
Was sind EV-Zertifikate?
Ein EV-Zertifikat (Extended Validation) ist eine Art SSL/TLS-Zertifikat. Es wird sehr geschätzt, weil die Validierung den größten Aufwand für eine Zertifizierungsstelle (CA) erfordert. Als solches bietet ein EV-Zertifikat ein hohes Maß an Vertrauen für Besucher einer Website, die vom Zertifikatsinhaber betrieben wird.
Aufgrund ihres intensiven Überprüfungsprozesses sind EV-Zertifikate im Allgemeinen weniger verbreitet als andere SSL-Zertifikate. Auf der entgegengesetzten Seite der Skala sind domainvalidierte (DV) Zertifikate der am weitesten verbreitete Typ von SSL/TLS-Zertifikaten. Sie erfordern lediglich eine Verifizierung anhand des Domainnamens, eine Validierung, die ein Domaininhaber erreicht, indem er seine im WHOIS-Datensatz aufgeführte E-Mail bei der CA bestätigt oder eine Verifizierungsdatei auf der Website platziert.
Der nächste Schritt nach oben sind vom Unternehmen validierte, sogenannte Organization validated(OV)-Zertifikate, die mehr Verifizierung erfordern als DV-Zertifikate. Für diese digitalen Dateien fordern CAs in der Regel Unterlagen an, die die Adresse des Domain-Inhabers und andere Organisationsinformationen verifizieren. Bei erfolgreichem Erhalt führen OV-Zertifikate die Namen sowohl der Website als auch des Unternehmens auf.
Bei EV-Zertifikaten verlangen CAs von einem Domain-Besitzer zusätzliche Unterlagen wie einen unterzeichneten Abonnentenvertrag, ein unterschriebenes Autorisierungsformular und Unterlagen, die entweder sein Unternehmen oder seine EV-Anforderung verifizieren. Ein Überprüfungspartner sieht sich dann all diese Informationen an, um den Namen des Domain-Besitzers, seine rechtliche Existenz, seine betriebliche Existenz, seine physische Existenz und andere Eigenschaften zu überprüfen. Wenn der Überprüfungsprozess erfolgreich durchlaufen wurde, erhält man ein vollständig validiertes EV-Zertifikat, eine digitale Datei, in der der Name des Unternehmens oder der Organisation in der Adressleiste angezeigt wird und die Adressleiste grün hinterlegt ist.
Nicht jeder benötigt für jede Instanz ein EV SSL/TLS-Zertifikat. Sie sind am besten für Webseiten mit hohem Bekanntheitsgrad reserviert, auf die Angreifer häufig Phishing-Angriffe durchführen. Dazu gehören im Allgemeinen Einzelhändler, große Technologiefirmen, Banken und Finanzinstitute.
Schutz vor Phishing mit Zertifikaten
EV-Zertifikate helfen beim Schutz vor ausgeklügelten Phishing-Techniken. Als Reaktion auf die wachsende Zahl von Internetnutzern haben sich Betrüger dazu entschlossen, für ihre überzeugenden Phishing-Domains betrügerische „Nur-Domain“-SSL/TLS-Zertifikate zu erwerben. Ein Beispiel hierfür wäre ein Zertifikat für paypa1.com (wobei die Zahl 1 den Kleinbuchstaben “L” durch die Zahl 1 ersetzt). Dieses hautnahe Niveau des scheinbaren Schutzes täuschte erfolgreich frühere Versionen von Webbrowsern, da sie nicht in der Lage waren, zwischen vollständig verifizierten SSL/TLS-Zertifikaten und einfach zu erwerbenden „Nur-Domain“-Digitaldateien zu unterscheiden. Infolgedessen hielten viele Benutzer diese gefälschten Websites für echt und gaben ihre sensiblen Informationen bereitwillig preis.
Im Vergleich dazu können Angreifer nicht einfach ein EV-Zertifikat erhalten, da der Umfang der Verifizierung einer Zertifizierungsstelle genügend Raum lässt, um Diskrepanzen in den Anwendungen der Angreifer zu erkennen. Wenn sie jedoch in der Lage sind, bestehende EV-Zertifikate zu stehlen oder zu kompromittieren, haben sie Zugang zu einem viel größeren Vertrauensbereich.
Fazit
Der Vorfall bei DigiCert zeigt, dass der manuelle Austausch von Zertifikaten überholt ist. Es ist den Web-Administratoren nicht zu zumuten innerhalb von wenigen Tagen nachzuschauen, bei welchem Projekt sie welches Zertifikat eingesetzt haben und sich dann mit dem Inhaber der Webseite auszutauschen und dieses schnell zu ersetzen. Hier müssen dringend automatisierte Prozesse eingeführt werden, vor allem, wenn es nicht um ein Zertifikat bei einer Webseite, sondern um viele Zertifikate bei verschiedenen Webseiten eines Unternehmens geht. Automation hilft den Verwaltungsaufwand in solchen Fällen zu reduzieren und schützt vor Missbrauch durch cyberkriminelle Profiteure. Web-Administratoren benötigen Übersicht über alle verwendeten Maschinenidentitäten. Sie brauchen die Intelligenz, dass die TLS-Zertifikate ein Problem darstellen und drittens kann ein automatisierter Prozess den Austausch der problematischen Maschinenidentitäten in wenigen Sekunden vornehmen.
