Mit EV-SSL erfolgreich gegen Phishing?

» Von Ulrich Moser, 20.11.2007 09:48. Letztes Update, 20.11.2007 09:50.

System hat noch Schwächen

Sicherheitsfunktionen müssten die Anbieter eigentlich verhindern, dass eine unbemerkte Installation möglich ist. Auch bei der Registrierung der Anträge besteht noch Handlungsbedarf. Bislang haben sich die dem CAB-Forum angeschlossenen Certification Authorities (CA) nämlich nur die «Selbstverpflichtung» auferlegt, die Angaben der Antragsteller wirklich eingehend zu prüfen. Weil zudem ständig neue CAs entstehen, was die immer längeren Listen vorinstallierter CA-Zertifikate in den Browsern belegen, schwankt die Qualität der EV-SSL-Zertifikate ebenso stark wie bei normalen SSL-Zertifikaten. Hier wie da hängt die Güte des Zertifikats einzig davon ab, wie exakt sich die ausstellende CA an die geltenden Standards hält. Die Benutzer freilich können dies kaum beurteilen. Die meisten wissen ja nicht einmal, dass sie schon alleine durch die Installation eines Browsers rund 40 Certification Authorities «vertrauen».

Die User müssen geschult werden

Natürlich ist durch die strengeren Antragskontrollen und die Verankerung der OID im Zertifikat die Zuordnung der rechtlichen Entität des Website-Inhabers zu einem Zertifikat besser erkennbar als bei SSL-Zertifikaten. Dennoch zeigt eine Studie der Stanford University und Microsoft Research, dass gut aufbereitete Site-Imitationen mit EV-SSL alleine nicht wesentlich einfacher erkannt werden können. Denn so lange die überwältigende Mehrzahl der User nicht einmal weiss, was ein SSL-Zertifikat eigentlich ist, und wie es interpretiert werden muss, verpufft der zusätzliche Nutzen von EV-SSL und Browser-Erweiterungen. Denn auch hier liegt die Verantwortung letztlich beim Anwender. Man kann ihm zwar die Erkennung der richtigen Site durch grüne Farbe anzeigen. Zunächst aber ist sicherzustellen, dass alle Implementationen effektiv gleiches Verhalten zeigen und die Anwender wissen, worauf sie achten müssen. Erst dann wird EV-SSL im Kampf gegen Phishing Wirkung zeigen.

Weitere Informationen

Links

CAB-Forum: www.cabforum.org

Collin Jackson u.a.: An Evaluation of Extended Validation and Picture-in-Picture Phishing
Attacks, usablesecurity.org/papers/jackson.pdf

Ulrich Moser ist Senior Consultant im Kompetenz-bereich Sicherheit der AWK Group.

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

Vorname: *

Name: *

E-Mail: *

Code eingeben:

Kommentar: *

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der IDG Communications AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.