Pressemitteilung

Website-Zertifikate: Browserhersteller schwächen Verbraucherschutz

Seit September verkürzte Laufzeiten von Zertifikaten: Angebote mit niedrigem Sicherheitsniveau profitieren
Browserhersteller erkennen noch immer nicht das qualifizierte Webseitenzertifikat der EU an
Beispiel für mangelnde digitale Souveränität Europas
Betrug mit Phishing-Webseiten bei Corona-Soforthilfe hätte mit neuen Zertifikatstypen weitgehend verhindert werden können

Berlin, 21. September 2020 – Seit September gelten neue verkürzte Laufzeiten für TLS-Zertifikate, mit denen Webseiten abgesichert werden. Diese dürfen nun maximal 13 Monate (397 Tage) gültig sein. Die Browserhersteller versprechen sich davon mehr Sicherheit. Dr. Kim Nguyen, Geschäftsführer von D-TRUST, einem Unternehmen der Bundesdruckerei und Anbieter digitaler Zertifikate, ist jedoch skeptisch: „Kürzere Laufzeiten von Website-Zertifikaten können sogar zu mehr Unsicherheit im Netz führen: Eine reduzierte Gültigkeitsdauer für alle Zertifikatstypen verringert aufgrund des zusätzlichen Aufwands die Attraktivität von TLS-Zertifikaten mit Identitätsprüfung.“ Wie wichtig deren Beitrag für eine sichere Online-Kommunikation ist, zeigt der Betrug bei den Corona-Soforthilfe-Anträgen im Frühjahr dieses Jahres. Der Einsatz identitätsgeprüfter Zertifikate hätte mit hoher Wahrscheinlichkeit einen Missbrauch verhindert: Die Antragsteller hätten laut Nguyen über die Anzeige der Zertifikatsinformationen feststellen können, ob sie sich auf einer vertrauenswürdigen Behörden-Webseite befinden – oder einer Phishing-Seite von Betrügern. Zudem weist Nguyen auf die politische Dimension der Verkürzung hin: „Europa setzt bei der Internet-Sicherheit auf Zertifikate mit einer gründlichen Identitätsprüfung und hoher Rechtsverbindlichkeit – von der nun vorgegebenen Verkürzung profitieren jedoch vor allem Angebote mit niedrigem Sicherheitsniveau, für den Anwender sinkt der Verbraucherschutz.“

Browserhersteller haben Verkürzung vorgegeben

Die Entscheidung für verkürzte Laufzeiten von TLS-Zertifikaten wurde vom CA/Browser-Forum im Juli 2020 getroffen. Das Forum ist eine Plattform für den Austausch zwischen Zertifikatsanwendern – also beispielsweise den großen Browserherstellern aus den USA – und den sogenannten Certificate Authorities (CA), die Zertifikate ausstellen. Anfangs von einem Browser-Hersteller forciert, ist das gesamte Forum auf starken Druck der anderen Browseranbieter auf diesen Kurs eingeschwenkt. „D-TRUST als europäischer CA ist von der Laufzeitverkürzung betroffen: Wir verstehen uns als Anbieter von Zertifikaten mit den höchsten Sicherheitsniveaus, also ausführlicher Identitätsprüfung – diese werden jetzt für Anwender unattraktiver“, erläutert Nguyen.

D-TRUST konzentriert sich auf organisationsvalidierte und erweitert validierte Zertifikate mit Identitätsinformationen (OV-, EV- und QWAC-Zertifikate). Hierbei wird die Identität des Webseitenbetreibers gründlich geprüft. Das erfordert einen höheren Aufwand, der jetzt in immer kürzeren Abständen notwendig ist. Der Mehraufwand für Webseitenbetreiber bei Laufzeitverkürzungen lässt sich zwar durch automatisierte Prozesse vermeiden, doch kann dies in der Regel nur von Unternehmen mit spezialisierten IT-Abteilungen oder Dienstleistern umgesetzt werden. Es besteht daher die Gefahr, dass Anwender aufgrund des höheren Aufwands eher zu sogenannten domainvalidierten Zertifikaten (DV-Zertifikate) tendieren. Bei DV-Zertifikaten wird die Identität des Antragstellers im Antragsprozess nicht überprüft.

Studie widerspricht Argumentation der Browseranbieter

Bei der Internet-Sicherheit konzentrieren sich die Browserhersteller auf die technischen Aspekte. Im Mittelpunkt steht dabei der verschlüsselte Datentransfer zwischen Webseiten und dem Computer des Internet-Nutzers. Kürzere Laufzeiten verringerten laut Browserhersteller allgemein das Zeitfenster, in denen TLS-Zertifikate gefährdet sind oder missbraucht werden können. Langfristig erhoffen sich die Browser davon, dass sie gänzlich auf die Zertifikatvalidierung verzichten können, um die Geschwindigkeit der Browser zu beschleunigen. Dies erhöht jedoch nach Ansicht von Nguyen für Nutzer das Risiko, Opfer von Phishing-Attacken zu werden.

Unterstützt wird dieses Argument durch eine aktuelle Studie der RWTH Aachen University. Deren Ergebnisse verdeutlichen, dass für ein Optimum an Internet-Sicherheit nicht nur technische Maßnahmen notwendig sind, sondern auch ein Identitäts-Check bei Zertifikaten. Laut der Studie nutzten 49,4 Prozent der in 2018 entdeckten Phishing-Webseiten das HTTPS-Protokoll. HTTPS-Webseiten übertragen die Daten verschlüsselt und signalisieren dem User damit Sicherheit. Eine Verschlüsselung allein ist also kein Kennzeichen sicherer Webseiten. Dass kürzere Zertifikatslaufzeiten die Sicherheit verbessern, wird durch die Analyse ebenfalls nicht bestätigt. Im Gegenteil: Die Gültigkeitsdauer sicherer Webseiten ist mit durchschnittlich 412 Tagen länger als diejenige gefälschter Webseiten mit 252 Tagen. Auch bei der ausgewählten Methode der Identitätsprüfung gibt es ein eindeutiges Ergebnis: 84,6 Prozent der Phishing-Angriffe werden über Webseiten durchgeführt, die entweder ausschließlich DV-Zertifikate oder gar keine Zertifikate enthalten. Hingegen besaßen nur 0,4 Prozent der gefälschten Webseiten ein EV-Zertifikat mit umfangreicher Identitätsprüfung.

Mehr europäische Unabhängigkeit von den Browserherstellern

Die EU-Kommission hat deshalb bereits 2014 in der Verordnung über elektronische Identifizierung und Vertrauensdienste das qualifizierte Webseitenzertifikat (QWAC) definiert. Ziel ist es, in ganz Europa eine sichere und vertrauenswürdige elektronische Kommunikation zu etablieren.

Allerdings erkennen die Browserhersteller QWACs bislang nicht an: Diese besonders sicheren Website-Zertifikate werden weder verarbeitet, noch im Browser angezeigt. Jetzt kommen zusätzlich die kürzeren Laufzeiten hinzu, die den Trend hin zu Zertifikaten ohne Identitätsnachweis verstärken. „Das Vorgehen von Google und Co. beim Umgang mit Website-Zertifikaten zeigt, dass eine starke Abhängigkeit der digitalen Sicherheitsinfrastrukturen in Europa von den Browserherstellern besteht“, so Nguyen.

Es gilt viel mehr, die digitale Souveränität Europas zu stärken. Browserhersteller müssen endlich die Verarbeitung und Anzeige der QWACs unterstützen. Wichtig wäre es zudem, den Sicherheitsstatus der QWACs verlässlich zu visualisieren, zum Beispiel durch das „EU Trust Mark Logo“. Diese Lösungsvorschläge werden auch vom Digitalverband Bitkom geteilt, der jüngst ein umfangreiches Positionspapier zum Thema veröffentlichte.

Marc

Thylmann

Pressesprecher der Bundesdruckerei GmbH

+49 (0)30 25 98 - 28 10

marc.thylmann@bdr.de

Anrufen

E-Mail schreiben

Im Auftrag der

Das könnte Sie auch interessieren

Frau und Mann vor einem Laptop in einer Industriehalle

Maschinenzertifikate: Sichere Maschinenkommunikation (M2M)

Maschinenzertifikate geben Maschinen eine Identität, mit der sie sich gegenüber verbundenen Geräten, Personen und Systemen digital ausweisen können.

Presse

30 / 09 / 2020

Fiskalisierung: Erste Cloud-Lösung zur Umsetzung der Kassensicherungsverordnung zertifiziert

Deutsche Fiskal und Bundesdruckerei-Tochter D-TRUST haben vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als erster Cloud-Anbieter die Zertifizierung für ihre gemeinsame Lösung zur Umsetzung der Kassensicherungsverordnung (KassenSichV) erhalten.

sign-me eHealth – die elektronische Signatur im Gesundheitswesen

sign-me eHealth ermöglicht EU-weit, elektronische Dokumente im Gesundheitswesen online und gemäß der eIDAS-Verordnung rechtssicher elektronisch zu unterschreiben.

Case Study: Digitale Schnittstellen für Versicherte der AOK

E-Siegel als Integritätsschutz für elektronische Dokumente

TLS/SSL-Zertifikate für vertrauenswürdige Websites

Ein TLS/SSL-Zertifikat gibt Usern Sicherheit, dass hinter einer Website eine echte und vertrauenswürdige Person oder Institution steht.

Frau mit Smartphone steht im Flughafengebäude

Artikel

Von POS bis eID: Ident-Verfahren im Überblick

Egal ob für die Eröffnung eines Kontos, die Nutzung einer qualifizierten elektronischen Signatur oder die Beantragung von Fördermitteln: An einem geeigneten, sicheren Identifizierungsverfahren ist kein Vorbeikommen – je nach Bedarf so sicher wie nötig und so bequem wie möglich. Doch was unterscheidet die Ident-Verfahren und wann lohnt sich welches? Hier gibt’s die wichtigsten Infos.

Siegelkarten: Qualifiziert elektronisch Siegeln

Sichern Sie mit unseren Siegelkarten eIDAS konform die Unversehrtheit und Herkunft ihrer digitalen Dokumente.

TLS/ SSL-Zertifikaten

Haben Sie Fragen zu unseren TLS / SSL-Zertifikaten, Online-Anträgen und Installation? Wir helfen Ihnen gerne.

Experteninterview

Website-Zertifikate: Verkürzte Laufzeiten, niedriges Risiko?

Enrico Entschew

Senior Technical Product Manager PKI bei der D-Trust GmbH

Mann steht mit Tablet und Stift im Büro am Fenster

Artikel

Fernsignatur-Anwendungsszenarien

Wofür braucht man eigentlich eine Fernsignatur? Was ist anders als bei der handschriftlichen Unterschrift? Wer kann sie wofür einsetzen und welche Vorteile bringt sie?

Ärztin telefoniert und schaut auf ein Tablet

News

13 / 09 / 2021

Aktuelles: eHBA und SMC-B: Ausgabe der neuesten Kartengenerationen G 2.1

Seit August werden bei D-Trust ausschließlich elektronische Heilberufsausweise (eHBA) und elektronische Praxis- und Institutionsausweise (SMC-B) der neuesten Kartengeneration G 2.1 produziert. Somit profitieren Leistungserbringer im Gesundheitswesen, die den eHBA oder die SMC-B bei D-Trust bestellen, von den Vorteilen der neuen Kartengeneration.

Frau und Mann haben im Büro eine Besprechung

BehördenIdent: vereinfachte Beantragung von Signatur- und Siegelkarten

Behördenmitarbeitende beantragen ihre dienstlichen Signatur- und Siegelkarten einfach, bequem und schnell vor Ort in der eigenen Behörde.

News

13 / 12 / 2023

Wechsel in der Geschäftsführung der D-Trust

Nach zwölf Jahren in der Geschäftsführung der D-Trust GmbH wird Dr. Kim Nguyen ab dem 1. Januar 2024 den wichtigen Bereich „Innovations“ der Bundesdruckerei GmbH leiten. Nguyens Nachfolger als Geschäftsführer des qualifizierten Vertrauensdiensteanbieters D-Trust wird Jochen Felsner.

Experteninterview

Acht Gründe, warum die elektronische Signatur jetzt wichtig ist

Dr. Kim Nguyen

Geschäftsführer D-Trust GmbH

Case Study: Volksbank Sauerland - Dokumente per Qualified Seal ID besiegelt

Die Volksbank Sauerland hat es sich zur Aufgabe gemacht, sowohl ihren Kunden als auch gesetzlichen Anforderungen gerecht zu werden und mittels Digitalisierung mehr Nachhaltigkeit in interne Prozesse zu bringen.