Die derzeitigen SSL-Zertifikate enthalten einen Verschlüsselungscode, für den die Zertifizierungsstelle bescheinigt, dass er zu der im Zertifikat genannten Organisation gehört. Die Zertifizierungsstelle überprüft dabei die Referenzen eines Bewerbers, so dass sich der Internetnutzer auf die Informationen der Zertifikate verlassen kann.
Anfangs führten noch alle Zertifizierungsstellen strenge Kontrollen durch, bevor ein Sicherheitszertifikat für eine Website ausgegeben wurde. Vor einigen Jahren lockerten dann ein paar Anbieter die Prüfvorgaben, um die Zertifikate billiger anbieten zu können. Die restlichen Anbieter am Markt zogen rasch nach, wie Branchenexperten berichten. Einige Unternehmen erteilen bereits ein Zertifikat, wenn Bedingungen wie eine gültige E-Mail-Adresse und ähnliche Informationen vorliegen.
„Das Problem bei den einfachen Zertifikaten ist das zu geringe Kontrollniveau. Außerdem wird die Überprüfungsmethode im Browser für den durchschnittlichen Nutzer nicht transparent genug dargestellt“, so Jim Maloney, Sicherheitschef bei Corillian. Corillian liefert an mehr als 100 Bankinstitute (darunter Wachovia, JP Morgan Chase und Capitol One) Technologielösungen im Bereich Online-Banking. Derzeit muss man auf das Schlosssymbol klicken, um mehr Informationen über den Zertifikatinhaber zu erhalten.
Laut der Abteilung Financial Insights der Analystenfirma IDC haben Geldinstitute weltweit im Jahr 2004 aufgrund von Phishing-Attacken mindestens 400 Mio. USD verloren. Zudem haben diese Online-Gefahren beim Verbraucher Ängste geweckt. Beinahe die Hälfte der Befragten einer Umfrage in den USA gab an, aus Angst vor dem Diebstahl von Identitätsdaten keine Geschäfte mehr online abzuschließen, wie die Cyber Security Industry Alliance im Juni berichtete.
Die Browser sind Teil dieses Zertifizierungsproblems. Die erteilten Zertifikate werden von den Anwendungen alle gleich behandelt, egal welche Zertifizierungsstelle sie nach welchen Praktiken und Referenzen erteilt hat. Alle Websites mit SSL-Zertifikat erhalten das gleiche Schlosssymbol.
„Webbrowser waren bisher nicht in der Lage, verschiedene Zertifizierungen zu unterscheiden. Daher war es auch egal, wie streng die Überprüfung durch die Zertifizierungsstelle erfolgte, was einige Betreiber für sich ausnutzten“, erklärte John Pescatore, Analyst bei Gartner.
Neueste Kommentare
Noch keine Kommentare zu Strengere Standards für sicheres Browsen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.