Mit EV-SSL erfolgreich gegen Phishing?

Die Idee ist bestechend: Eine rote Adressleiste im Webbrowser warnt vor Gefahr, eine grüne Adressleiste signalisiert Sicherheit. So einfach und eindeutig sollen Internet-User in Zukunft darüber informiert werden, ob sie sich aktuell auf einer betrügerischen Phishing-Site oder auf der gewünschten, sicheren Seite des tatsächlichen Anbieters befinden.

Möglich werden soll diese «Ampel-Funktion» durch die von den Browser-Herstellern initiierten «Extended Validation Secure -Socket Layer»-Zertifikate, kurz EV-SSL. Diese wollen so versuchen, die zunehmend -professioneller agierenden Phisher aus-zubremsen. Letztere reiten immer ausge-feiltere Attacken und imitieren Web-Sites zwischenzeitlich so täuschend ähnlich, dass selbst versierte Benutzer kaum noch erkennen können, ob sie auf einer echten oder einer getürkten Webseite surfen. Selbst durch Überprüfen der URL (Universal Ressource Locator) im Adressfeld des Browsers ist nicht in jedem Fall zweifelsfrei nach-vollziehbar, ob die Website echt ist. Denn viele von rechtmässigen Webseitenbetreibern eingesetzte Content- Management-Systeme (CMS) erzeugen derart kryptische URL, dass der normale Benutzer schlicht nicht feststellen kann, ob sie von der erwarteten Site stammen oder nicht.

Aus diesem Grund wollen die Browser-Hersteller klare Merkmale schaffen, die es erleichtern, die Herkunft der angezeigten Inhalte zu verifizieren. Nach Vorbild des Firefox-Browsers, der SSL-geschützten Websites durch eine Gelbfärbung der Adressleiste kennzeichnet, sollen von Anbietern mit EV-SSL-Zertifikat stammende Sites eine grüne Adressleiste anzeigen. Ist der Browser zudem so eingerichtet, dass er jede aufgerufene URL zuerst gegen eine «Blacklist» bekannter Phishing-Sites prüft, werden unsichere Seiten zur Warnung rot angezeigt. Die zur Prüfung herangezogenen Blacklists können dabei wahlweise im Internet, im eigenen Netzwerk oder lokal auf dem Rechner hinterlegt sein. In jedem Fall ist die Aktualität der Blacklist entscheidend für die Treffsicherheit bei der Phishing-Site-Suche.

Kernstück der neuen Methode ist die --EV-SSL-Zertifizierung. Sie beinhaltet, wie der Zusatz «erweiterte Validierung» andeutet, eine strengere Authentizitätsprüfung bei der Ausstellung der Zertifikate. Gemäss Vereinbarung im CAB-Forum (Certification Authority Browser), einem Zusammenschluss von Zertifizierungsstellen und Browser-Herstellern, dürfen EV-SSL-Zertifikate ausschliesslich an ordnungsgemäss registrierte Organisationen vergeben werden, in der Schweiz also nur an eingetragene Gesellschaften oder eingetragene Vereine. Zudem werden EV-SSL-Zertifikate nur für eine begrenzte Zahl vollständiger Site-Namen wie etwa www.mysite.ch, www.mysite.com und www.mysite.org vergeben und nicht - wie normale SSL-Zertifikate - für ganze Domains ausgestellt. Da Phisher in der Regel keine rechtlich regi-strierten Organisationen sind, können sie nicht in den Besitz von EV-SSL-Zertifikaten kommen, also die Benutzer regulärer Sites auch nicht irre führen.

«Ohne Schulung der Anwender werden auch EV-SSL-Zertifikate im Kampf
gegen Phishing wirkungslos bleiben.»

Damit eine Organisation in den Besitz eines EV-SSL-Zertifikates gelangt, muss sie zunächst bei einer Zertifizierungsstelle einen Antrag stellen. Dabei müssen neben der URL, für die das Zertifikat gelten soll, auch der Firmensitz, die Registrierungsnummer des Handels- oder Vereinsregistereintrages und die registrierende Stelle (Registergericht) offengelegt werden. Die Angaben werden von der Certification Authority geprüft und in der «Organizational Identity», kurz OID, einer Unterstruktur der Zertifikatsinhaber-Informationen so gespeichert, dass sie vom Benutzer eines EV-SSL-fähigen Browsers auch angezeigt werden können. Das funktioniert so: Wird die Site angewählt, erscheint im linken Teil der grünen Adressleiste wie gewohnt die URL. Im rechten Teil, der wie bei SSL-Seiten mit einem Schloss-Symbol eingeleitet wird, rollen der Name des Betreibers und der Name des --Zertifikats-Ausstellers durch. Klickt man darauf, können die weiteren Angaben aus dem Zertifikat eingesehen und überprüft werden.

Auf Benutzerseite muss ein EV-SSL-fähiger Browser (siehe Box) installiert sein. Zusätzlich müssen im Zertifikatsspeicher des Browsers die Root-Zertifikate der Certification Authorities, die EV-SSL-Zertifikate ausgeben, abgelegt sein. Andernfalls würde die Seite wie eine normale SSL-geschützte Seite, also mit gelber Adressleiste dargestellt. Die Zertifizierungsstellen bieten dazu ihren Kunden Add-Ins für deren Websites an, die dafür sorgen, dass bei erstmaliger Anwahl einer EV-SSL-geschützten Seite das entsprechende Root-Zertifikat automatisch heruntergeladen und installiert wird. Je nach Browser und Einstellung -erfolgt dies für den Benutzer unmerklich oder es startet ein Popup-Fenster, das den Anwender auf diesen Vorgang aufmerksam macht und eine explizite Bestätigung verlangt.

Sicherheitsfunktionen müssten die Anbieter eigentlich verhindern, dass eine unbemerkte Installation möglich ist. Auch bei der Registrierung der Anträge besteht noch Handlungsbedarf. Bislang haben sich die dem CAB-Forum angeschlossenen Certification Authorities (CA) nämlich nur die «Selbstverpflichtung» auferlegt, die Angaben der Antragsteller wirklich eingehend zu prüfen. Weil zudem ständig neue CAs entstehen, was die immer längeren Listen vorinstallierter CA-Zertifikate in den Browsern belegen, schwankt die Qualität der EV-SSL-Zertifikate ebenso stark wie bei normalen SSL-Zertifikaten. Hier wie da hängt die Güte des Zertifikats einzig davon ab, wie exakt sich die ausstellende CA an die geltenden Standards hält. Die Benutzer freilich können dies kaum beurteilen. Die meisten wissen ja nicht einmal, dass sie schon alleine durch die Installation eines Browsers rund 40 Certification Authorities «vertrauen».

Natürlich ist durch die strengeren Antragskontrollen und die Verankerung der OID im Zertifikat die Zuordnung der rechtlichen Entität des Website-Inhabers zu einem Zertifikat besser erkennbar als bei SSL-Zertifikaten. Dennoch zeigt eine Studie der Stanford University und Microsoft Research, dass gut aufbereitete Site-Imitationen mit EV-SSL alleine nicht wesentlich einfacher erkannt werden können. Denn so lange die überwältigende Mehrzahl der User nicht einmal weiss, was ein SSL-Zertifikat eigentlich ist, und wie es interpretiert werden muss, verpufft der zusätzliche Nutzen von EV-SSL und Browser-Erweiterungen. Denn auch hier liegt die Verantwortung letztlich beim Anwender. Man kann ihm zwar die Erkennung der richtigen Site durch grüne Farbe anzeigen. Zunächst aber ist sicherzustellen, dass alle Implementationen effektiv gleiches Verhalten zeigen und die Anwender wissen, worauf sie achten müssen. Erst dann wird EV-SSL im Kampf gegen Phishing Wirkung zeigen.

Weitere Informationen

CAB-Forum: http://www.cabforum.org/

Collin Jackson u.a.: An Evaluation of Extended Validation and Picture-in-Picture Phishing
Attacks, http://usablesecurity.org/papers/jackson.pdf

Ulrich Moser ist Senior Consultant im Kompetenz-bereich Sicherheit der AWK Group.