Extended-Validation-Zertifikat

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Ein Extended-Validation-Zertifikat wird in allen gängigen Browsern (hier Mozilla Firefox) zum Beispiel in der Adressleiste vermerkt.

Extended-Validation-SSL-Zertifikate (EV-SSL; deutsch etwa „Zertifikate mit erweiterter Überprüfung“) sind X.509 SSL-Zertifikate, deren Ausgabe an strengere Vergabekriterien gebunden ist. Dies bezieht sich vor allem auf eine detaillierte Überprüfung des Antragstellers durch die Zertifizierungsstelle. Die Vergabekriterien sind in den „Richtlinien für Extended-Validation-Zertifikate“[1] spezifiziert. Die Richtlinien werden vom CA/Browser Forum herausgegeben, einem freiwilligen Zusammenschluss von Zertifizierungsstellen und Browser-Herstellern.

Genutzt werden die Zertifikate meist, um Webanwendungen per HTTPS zu sichern und den Anwendern vor dem Hintergrund von Phishing-Angriffen eine zusätzliche Sicherheit zu geben, etwa beim Online-Banking.

Motivation[Bearbeiten]

Das vorrangige Ziel der EV-SSL-Zertifikate ist es, Phishing mit verschlüsselten und damit auf den ersten Blick sicheren Websites zu erschweren. Durch die Einführung eines neuen, „erweiterten“ Zertifikats und der grün-hinterlegten Adresszeile des Browsers soll das Vertrauen der Benutzer in die sichere Verbindung zur gewünschten Websites gestärkt werden.

Die Ausgabe von SSL-Zertifikaten ist zwar grundsätzlich an eine Überprüfung des Antragstellers gebunden, der Preisdruck unter den Anbietern hat aber zu einer teilweise laxen Vergabepraxis und zu vereinfachten Zertifikaten geführt, die nicht mehr als den Domain-Namen zertifizieren. Damit können auch Betrüger SSL-Zertifikate zur Steigerung ihrer Glaubwürdigkeit verwenden, ohne ihre Identität preisgeben zu müssen.

Kritiker sehen in dem neuen Standard teils den Versuch der Zertifizierungsstellen, sich dem Preiskampf in der SSL-Zertifikat-Ausgabe durch die Einführung eines neuen Premium-Produktes zu entziehen, das dem Benutzer wenig zusätzliche Sicherheit bringt, und das auch mit anderen Mitteln zu erreichen wäre. Auch könnten kleinere Anbieter geschäftlich benachteiligt werden.[2] In der Version 1.1[3] wurde teils versucht, diese Einwände zu berücksichtigen.

Benutzerschnittstelle[Bearbeiten]

In der Adresszeile des Browsers wird zusätzlich ein Feld angezeigt, in dem Zertifikats- und Domaininhaber im Wechsel mit der Zertifizierungsstelle (beispielsweise VeriSign oder TC TrustCenter) eingeblendet werden. Zudem wird je nach verwendetem Browser die Adresszeile oder ein Teil davon grün eingefärbt. Internetnutzer sollen so noch schneller erkennen können, ob die besuchte Website echt ist und sich so besser vor Phishingversuchen schützen.

Browserunterstützung[Bearbeiten]

  • ab Firefox 3: Die erweiterten Funktionen der EV-SSL-Zertifikate werden von Firefox 3 standardmäßig unterstützt. Der linke Teil der Adressleiste wird grün eingefärbt.
  • Google Chrome: EV-SSL-Zertifikate werden standardmäßig unterstützt. Der linke Teil der Adressleiste wird grün eingefärbt und der Organisationsname wird in grün neben einem Schloss-Symbol dargestellt.
  • ab Internet Explorer 7: EV-SSL-Zertifikate werden standardmäßig unterstützt. Die gesamte Adressleiste wird grün eingefärbt. Ein Benutzer mit Administratorrechten kann den Internet Explorer so konfigurieren, dass auch andere Zertifikate als EV-SSL-Zertifikate angezeigt werden.[4]
  • ab Opera 9.5: EV-SSL-Zertifikate werden standardmäßig unterstützt. Der rechte Teil der Adressleiste wird grün eingefärbt und das Schloss-Symbol hat zusätzlich ein Häkchen.
  • ab Safari 3.2: EV-SSL-Zertifikate werden standardmäßig unterstützt. Der Organisationsname wird in grün neben dem Schloss-Symbol angezeigt.[5]

Vergabekriterien[Bearbeiten]

Um EV-SSL-Zertifikate ausstellen zu dürfen, müssen sich die Zertifizierungsstellen selbst einer Überprüfung unterziehen. Die Vergabe der Zertifikate ist unter anderem an folgende Kriterien gebunden:

  • Feststellung der Identität und der Geschäftsadresse des Antragstellers
  • Sicherstellung, dass der Antragsteller ausschließlicher Eigentümer der Domain ist oder eine exklusive Nutzungsberechtigung hat
  • Sicherstellung, dass die antragstellenden Personen befugt sind und dass rechtlich bindende Dokumente von zeichnungsberechtigten Personen unterschrieben werden

Ein EV-Zertifikat kann ausgestellt werden für:

  • Behörden
  • Kapitalgesellschaften
  • Personengesellschaften
  • eingetragene Vereine
  • Einzelunternehmen

Weblinks[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. Guidelines for Extended Validation Certificates 1.0
  2. Wall Street Journal: „Software to Spot ‚Phishers‘ Irks Small Concerns“, 19. Dezember 2006
  3. Version 1.1 der Guidelines for Extended Validation Certificates
  4. [1]: „Extended Validation support for websites using internal certificates“, 14. August 2009
  5. fscklog.com: „Safari 3.2 mit Phishing-Schutz“, 13. November 2008