Mit EV-SSL erfolgreich gegen Phishing?

Die Idee ist bestechend: Eine rote Adressleiste im Webbrowser warnt vor Gefahr, eine grüne Adressleiste signalisiert Sicherheit. So einfach und eindeutig sollen Internet-User in Zukunft darüber informiert werden, ob sie sich aktuell auf einer betrügerischen Phishing-Site oder auf der gewünschten, sicheren Seite des tatsächlichen Anbieters befinden.

Möglich werden soll diese «Ampel-Funktion» durch die von den Browser-Herstellern initiierten «Extended Validation Secure -Socket Layer»-Zertifikate, kurz EV-SSL. Diese wollen so versuchen, die zunehmend -professioneller agierenden Phisher aus-zubremsen. Letztere reiten immer ausge-feiltere Attacken und imitieren Web-Sites zwischenzeitlich so täuschend ähnlich, dass selbst versierte Benutzer kaum noch erkennen können, ob sie auf einer echten oder einer getürkten Webseite surfen. Selbst durch Überprüfen der URL (Universal Ressource Locator) im Adressfeld des Browsers ist nicht in jedem Fall zweifelsfrei nach-vollziehbar, ob die Website echt ist. Denn viele von rechtmässigen Webseitenbetreibern eingesetzte Content- Management-Systeme (CMS) erzeugen derart kryptische URL, dass der normale Benutzer schlicht nicht feststellen kann, ob sie von der erwarteten Site stammen oder nicht.

Aus diesem Grund wollen die Browser-Hersteller klare Merkmale schaffen, die es erleichtern, die Herkunft der angezeigten Inhalte zu verifizieren. Nach Vorbild des Firefox-Browsers, der SSL-geschützten Websites durch eine Gelbfärbung der Adressleiste kennzeichnet, sollen von Anbietern mit EV-SSL-Zertifikat stammende Sites eine grüne Adressleiste anzeigen. Ist der Browser zudem so eingerichtet, dass er jede aufgerufene URL zuerst gegen eine «Blacklist» bekannter Phishing-Sites prüft, werden unsichere Seiten zur Warnung rot angezeigt. Die zur Prüfung herangezogenen Blacklists können dabei wahlweise im Internet, im eigenen Netzwerk oder lokal auf dem Rechner hinterlegt sein. In jedem Fall ist die Aktualität der Blacklist entscheidend für die Treffsicherheit bei der Phishing-Site-Suche.

Erweiterte Validierung

Kernstück der neuen Methode ist die --EV-SSL-Zertifizierung. Sie beinhaltet, wie der Zusatz «erweiterte Validierung» andeutet, eine strengere Authentizitätsprüfung bei der Ausstellung der Zertifikate. Gemäss Vereinbarung im CAB-Forum (Certification Authority Browser), einem Zusammenschluss von Zertifizierungsstellen und Browser-Herstellern, dürfen EV-SSL-Zertifikate ausschliesslich an ordnungsgemäss registrierte Organisationen vergeben werden, in der Schweiz also nur an eingetragene Gesellschaften oder eingetragene Vereine. Zudem werden EV-SSL-Zertifikate nur für eine begrenzte Zahl vollständiger Site-Namen wie etwa www.mysite.ch, www.mysite.com und www.mysite.org vergeben und nicht - wie normale SSL-Zertifikate - für ganze Domains ausgestellt. Da Phisher in der Regel keine rechtlich regi-strierten Organisationen sind, können sie nicht in den Besitz von EV-SSL-Zertifikaten kommen, also die Benutzer regulärer Sites auch nicht irre führen.

«Ohne Schulung der Anwender werden auch EV-SSL-Zertifikate im Kampf
gegen Phishing wirkungslos bleiben.»

Was Anbieter tun müssen

Damit eine Organisation in den Besitz eines EV-SSL-Zertifikates gelangt, muss sie zunächst bei einer Zertifizierungsstelle einen Antrag stellen. Dabei müssen neben der URL, für die das Zertifikat gelten soll, auch der Firmensitz, die Registrierungsnummer des Handels- oder Vereinsregistereintrages und die registrierende Stelle (Registergericht) offengelegt werden. Die Angaben werden von der Certification Authority geprüft und in der «Organizational Identity», kurz OID, einer Unterstruktur der Zertifikatsinhaber-Informationen so gespeichert, dass sie vom Benutzer eines EV-SSL-fähigen Browsers auch angezeigt werden können. Das funktioniert so: Wird die Site angewählt, erscheint im linken Teil der grünen Adressleiste wie gewohnt die URL. Im rechten Teil, der wie bei SSL-Seiten mit einem Schloss-Symbol eingeleitet wird, rollen der Name des Betreibers und der Name des --Zertifikats-Ausstellers durch. Klickt man darauf, können die weiteren Angaben aus dem Zertifikat eingesehen und überprüft werden.

Was die User tun müssen

Auf Benutzerseite muss ein EV-SSL-fähiger Browser (siehe Box) installiert sein. Zusätzlich müssen im Zertifikatsspeicher des Browsers die Root-Zertifikate der Certification Authorities, die EV-SSL-Zertifikate ausgeben, abgelegt sein. Andernfalls würde die Seite wie eine normale SSL-geschützte Seite, also mit gelber Adressleiste dargestellt. Die Zertifizierungsstellen bieten dazu ihren Kunden Add-Ins für deren Websites an, die dafür sorgen, dass bei erstmaliger Anwahl einer EV-SSL-geschützten Seite das entsprechende Root-Zertifikat automatisch heruntergeladen und installiert wird. Je nach Browser und Einstellung -erfolgt dies für den Benutzer unmerklich oder es startet ein Popup-Fenster, das den Anwender auf diesen Vorgang aufmerksam macht und eine explizite Bestätigung verlangt.