Frau mit Kopfhörern sitzt am Computer am Tisch im Büro

Website-Zertifikate: Verkürzte Laufzeiten, niedriges Risiko?

Veröffentlicht am 23.09.2020

Seit 1. September 2020 darf die Gültigkeitsdauer von SSL-/TLS-Zertifikaten maximal 13 Monate betragen. Ansonsten markieren die Browser die Websites als unsicher. D-Trust Experte Enrico Entschew erklärt, was diese Maßnahme für Behörden und Unternehmen bedeutet und wie Websites mit den richtigen Zertifikaten sicherer werden.

 

Experteninterview mit
Enrico Entschew
Enrico Entschew
Senior Technical Product Manager PKI, D-TRUST GmbH

SSL-/TLS-Zertifikate bilden das Fundament für mehr Sicherheit im Internet. Sie verschlüsseln die Kommunikation zwischen dem Computer des Internetnutzers und dem Server der Website, sodass sensible Daten – zum Beispiel in Kontakt- oder Bestellformularen – geschützt sind. Zusätzlich bestätigen Website-Zertifikate die Echtheit des Webservers und können damit über die Identität des Website-Betreibers informieren.

In den letzten Jahren ist die Laufzeit von SSL-/TLS-Zertifikaten immer kürzer geworden. Bis 2015 konnten Zertifikate mit einer Laufzeit von bis zu fünf Jahren ausgestellt werden. Daraus wurden 2018 nur noch drei, dann zwei Jahre. Jetzt fiel auf Druck der großen Browserhersteller die Entscheidung, die Gültigkeitsdauer von Website-Zertifikaten ab dem 1. September 2020 auf ein Jahr zu begrenzen. Was diese Änderung für Auswirkungen hat und was Sie jetzt bei der Auswahl Ihres Website-Zertifikats beachten müssen, lesen Sie in den folgenden Tipps.

Tipp 1: Stichtag 1. September 2020

Für alle SSL-/TLS-Zertifikate, die vor dem 1. September 2020 erworben wurden, ändert sich nichts. Das Zertifikat bleibt bis zum Ablaufdatum gültig, auch wenn es für zwei Jahre ausgestellt ist. Einzig eine Verlängerung um weitere zwei Jahre ist dann nicht mehr möglich. Ab dem Stichtag ausgestellte SSL‑/TLS-Zertifikate besitzen die neue Gültigkeit von einem Jahr. Vor Ablauf der Gültigkeit muss in der Regel ein neues Zertifikat beantragt werden. Dieser Schritt kann in Teilen automatisiert erfolgen. Einzelne Zertifizierungsstellen werben mit komplett automatisierten Prozessen. Dabei ist jedoch zu bedenken, dass es sich oft um Zertifikate mit einem niedrigen Sicherheitsniveau handelt. 

Tipp 2: Vorsicht vor preisgünstigen Angeboten ohne Identitätsnachweis

Aktuell am verbreitetsten sind sogenannte domainvalidierte Zertifikate (DV). Diese werden von einigen Vertrauensdiensteanbietern (VDA) sehr preisgünstig oder teilweise sogar kostenlos vergeben. Sie bieten jedoch das geringste Sicherheitsniveau. DV-Zertifikate basieren auf einem Domaincheck. Eine Identitätsprüfung findet nicht statt. Das Zertifikat trifft daher keine Aussage über die Identität des Inhabers der Domain oder der Website. Cyberkriminelle nutzen dies oftmals für ihre Zwecke aus. Sie registrieren eine dem Original ähnliche URL und können sich dann leicht ein DV-Zertifikat dafür beschaffen.

Aktuelles Beispiel für diese Betrugsmasche sind die Fake-Websites für die Corona-Soforthilfe-Anträge. Anwender gaben dort ahnungslos ihre Daten preis. Mit diesen Informationen stellten die Cyberkriminellen dann auf den Originalwebsites Anträge und kassierten Gelder ab. Behörden und Unternehmen, die mit Bürgern und Kunden über ihre Websites kommunizieren, ist deshalb von DV-Zertifikaten abzuraten.

Tipp 3: Identitätsgeprüfte Zertifikate erhöhen die Internetsicherheit

Für eine sichere Online-Kommunikation sind identitätsgeprüfte Zertifikate erste Wahl. Bei organisationsvalidierten Zertifikaten (OV) wird zusätzlich zum Domaincheck die Organisation hinter der Website geprüft. Der Inhaber der Domain muss sich gegenüber der ausgebenden Stelle, dem VDA, durch aussagekräftige Dokumente – wie zum Beispiel einen Handelsregisterauszug – ausweisen.

Erweitert validierte Zertifikate (EV) gehen noch einen Schritt weiter. Hier prüft der Zertifikatsanbieter, ob der Antragsteller tatsächlich bei der angegebenen Organisation arbeitet und berechtigt ist, ein Zertifikat zu beantragen.

Dass identitätsgeprüfte Zertifikate für mehr Sicherheit im Internet sorgen, zeigt eine aktuelle Studie der RWTH Aachen University über Phishing-Websites. Demnach besaßen nur 0,4 Prozent der gefälschten Websites ein EV-Zertifikat. Der Einsatz identitätsgeprüfter Zertifikate hätte mit hoher Wahrscheinlichkeit den Corona-Soforthilfe-Betrug verhindert. Denn bei einem EV-Zertifikat erscheint durch Anklicken des grauen Schlosssymbols in der Browserleiste sofort die Info, auf welche Organisation das Zertifikat ausgestellt ist. Diese Information fehlt in der Regel bei gefälschten Websites.

Tipp 4: Höchstes Sicherheitsniveau in der EU bieten QWACs

Um eine sichere elektronische Kommunikation im gesamten EU-Raum zu fördern, hat die Verordnung über elektronische Identifizierung und Vertrauensdienste das qualifizierte Website-Zertifikat (QWAC) eingeführt. QWACs basieren auf einer gründlichen Identitätsprüfung durch einen qualifizierten Vertrauensdiensteanbieter (qVDA), der höchste Anforderungen an Sicherheit und Zuverlässigkeit erfüllen muss. Entsprechend vertrauenswürdig sind die im Zertifikat hinterlegten Informationen über die Identität des Website-Betreibers. Der Einsatz von QWACs in der Breite wird jedoch von den Browserherstellern behindert, indem die Zertifikate in großen Teilen weder verarbeitet noch im Browser angezeigt werden. Der Digitalverband Bitkom fordert deshalb in einem jüngst erschienenen Positionspapier, die Browseranbieter zu einer Anerkennung und Anzeige von QWACs zu verpflichten.

Tipp 5: Mit einem vertrauenswürdigen VDA zusammenarbeiten

Die verkürzte Laufzeit bedeutet, dass Behörden und Unternehmen ihre Zertifikate in kürzeren Abständen erneuern und entsprechend ihre Prozesse anpassen müssen. Umso wichtiger wird es, mit einem vertrauenswürdigen Zertifikatsanbieter zusammenzuarbeiten. Die eIDAS-Verordnung gibt hierbei mit dem Status des qualifizierten Vertrauensdiensteanbieters Orientierungshilfe. Dieser Status wird von einer nationalen Aufsichtsstelle erst nach sorgfältiger Prüfung verliehen.

Qualifizierte Vertrauensdiensteanbieter unterliegen sehr strengen Sicherheitsanforderungen und Haftungsregeln. Sie sind beispielsweise verpflichtet, technische und organisatorische Maßnahmen nach dem neuesten Stand der Technik vorzuweisen. Sicherheitsverletzungen müssen spätestens nach 24 Stunden gemeldet werden. Und für den qVDA gilt die Beweislastumkehr, das heißt, er muss im Fall von Sicherheitsverletzungen beweisen, dass er nicht vorsätzlich und fahrlässig gehandelt hat. Qualifizierte Vertrauensdiensteanbieter sind an dem EU-Vertrauenssiegel zu erkennen.

Artikel
Artikel
Artikel
Artikel
Artikel