Es lohnt sich für Firmen nicht, Hunderte Euro pro Jahr für EV-Zertifikate auszugeben, wenn eh kein Schwein weiss, worum es dabei geht. Ist doch logisch!
Ich habe in einem früheren Blog-Eintrag bereits erklärt, was es bedeutet, wenn der Browser so wie in folgendem Screenshot das Wort Sicher bzw. Secure anzeigt in der Adresszeile:
Kurz zusammengefasst: Es bedeutet eigentlich herzlich wenig. „Sicher“ ist nur die Verbindung zwischen Ihrem Browser und der Website. Über die Website selbst sagt es fast nichts aus; heutzutage sind sogar viele Verbindungen zu betrügerischen Phishing-Websites solcherart „sicher“.
Der Grund: Die sogenannten Domain-Validated-Zertifikate oder kurz DV-Zertifikate bekommt jeder mehr oder weniger einfach so (man braucht lediglich eine gültige E-Mail-Adresse), und die meisten solchen Zertikate sind heutzutage kostenlos.
Was ist, wenn die Adresszeile anders aussieht, wenn da ein Name steht, wie in diesem Screenshot?
Dann kommt ein sogenanntes Extended-Validation-Zertifikat oder kurz EV-Zertifikat zu Einsatz.
Der Witz bei diesen: Es gibt relativ strenge Vergabekriterien, an welche sich die ausgebenden Stellen auch halten. Diese Zertifikate werden für Privatpersonen nicht ausgestellt, sondern im Prinzip nur für rechtliche Personen, die in irgendeiner Form öffentlich registriert sind, also konkret meistens Firmen. Und es überprüft tatsächlich ein Mensch „von Hand“, ob Firma und Website zusammengehören.
Klar auch, dass das etwas kostet: Typischerweise einige Hundert Euro im Jahr.
Das ist ein beachtlicher Gewinn an Aussagekraft und Sicherheit: Ich kann im obigen Beispiel ziemlich sicher sein, dass ich mich tatsächlich auf der Website der Credit-Suisse-Bank befinde.
Der Inhaber der Domain Credit-Suise.com (ja, diese Domain gibt es leider tatsächlich) könnte zwar ohne Probleme zu einem „Sicher“ in der Adresszeile des Browsers kommen, mit Hilfe eines DV-Zertifikats, aber der Versuch, ein EV-Zertifikat zu bekommen, damit da Credit Suise steht, würde vermutlich am Prüfer des Antrags bei der Ausgabestelle scheitern, selbst wenn das Gründen einer gleichnamigen Firma irgendwo auf der Welt noch geklappt haben sollte.
So, und nun zu einer Frage, bei der ziemlich viel von der Anwort abhängt: War Ihnen dieser fundamentale Unterschied zwischen den beiden Sorten Zertifikaten schon bewusst, bevor Sie jetzt meine Erläuterungen gelesen haben?
Mit ziemlicher Wahrscheinlichkeit nicht, wie Umfragen immer wieder ergeben. Ich muss gestehen, mir auch nicht, bevor ich mich näher mit Fragen der IT-Sicherheit zu beschäftigen begann.
Warum ist das wichtig? Solange die Leute nicht Bescheid wissen, und noch wichtiger, solange sie nicht darauf achten und dann auch darauf pochen, dass Firmen EV-Zertifikate einsetzen, haben Firmen eigentlich keinen Grund, Aufwand zu treiben und Geld auszugeben, um solche Zertifikate zu kaufen: Interessiert eh kein Schwein, man gewinnt keinen Blumentopf, man macht nicht mehr Umsatz.
Es ist denn auch so, wie der Sicherheits-Spezialist Troy Hunt in diesem Artikel sehr schön zeigte: Der Einsatz von EV-Zertifikaten im heutigen Internet lässt sehr zu wünschen übrig. Von den 10 meistbesuchten Websites überhaupt auf der Welt setzte im Sommer 2017 keine einzige ein solches ein.
Megos IT Security Blog 