SSL wird erweitert

Online-Läden und -Banken haben derzeit mit einer Kundschaft zu tun, die immer misstrauischer wird. Grund sind die vielen Phishing-Attacken der letzten Zeit. Dabei werden Surfer auf gefälschte Webseiten gelockt, die denen ihrer Bank oder ihres Lieblings-Webshops ähnlich sehen. Dort werden sie um ihre Zugangsangaben gebeten und ausgeraubt.

Um der Online-Wegelagerei einen Riegel vorzuschieben, hat das Konsortium CA/Browser Forum (Certification Authority) eine erweiterte Form des im Web bekannten Verschlüsselungsverfahrens SSL (Secure Soc-ket Layer) erarbeitet, das Extended Validation SSL, kurz EV-SSL.

Schon sind erste auf EV-SSL basierende Zertifikate ausgegeben worden, und mit Version 7 von Microsofts Webbrowser Internet Explorer (IE) lassen sich zertifizierte Online-Auftritte erkennen. Bereits bekannt bei Surfern ist das Vorhängeschloss. Es symbolisiert, dass Daten zwischen Browser und Website verschlüsselt übermittelt werden. Doch können auch Phisher den Webverkehr verschlüsseln oder eine getürkte Webseite mit Schlösschen präsentieren.

Ein EV-SSL-zertifizierter Web-auftritt wird im IE 7 durch ein grün hinterlegtes Adressfeld gekennzeichnet. Bei bekannten Phishing-Sites erscheint die Internetanschrift hingegen rot. Zu-dem ermittelt der Browser anhand des Zertifikats den Besitzer der Auszeichnung, also die Betreiberfirma des Web-shops oder Online-Bankhauses, und die Zertifizierungsstelle, also jenes Unternehmen, das das Zertifikat ausgestellt hat.

Bei der Erarbeitung des Standards hat das CA/Browser Forum darauf geachtet, dass der Status der Zertifizierungsstelle sich ändern kann. Wird also eine solche Certification Authority dabei ertappt, Zertifikate an weniger vertrauenswürdige Firmen auszugeben, kann dem Browser beigebracht werden, die Zertifikate von dieser Stelle nicht mehr als gültig zu erachten.