SSL Zertifikate werden zur Verschlüsselung und Validierung verwendet. Die Verschlüsselung stellt sicher, dass der Datenverkehr nicht von Abhörern manipuliert werden kann, und verbessert die Vertraulichkeit und Integrität der Informationen in jeder Transaktion. Die Validierung stellt sicher, dass die beiden kommunizierenden Parteien tatsächlich die sind, die sie vorgeben zu sein.
Die Notwendigkeit einer verbesserten Identitätsüberprüfung veranlasste das CA/Browser (CAB)-Forum, die Extended Validation Certificates (kurz EV-Zertifikate) zu schaffen.
Das hörte sich nach einem vollen Mund an. Aber hier ist, wie sie aussehen.
Allerdings habe ich schon lange kein derartiges Webbrowser-Zertifikat mehr gesehen. Wie Troy Hunt feststellt, sind EV-Zertifikate wahrscheinlich tot, und sie werden nicht einmal von den zehn wichtigsten Websites im Internet verwendet.
Und obwohl die Verwendung von EV-Zertifikaten allmählich an Bedeutung verliert, können Sie immer noch EV-Zertifikate von einigen der großen öffentlichen Zertifizierungsstellen kaufen. Im Folgenden erfahren Sie, worum es sich dabei handelt und ob EV-Zertifikate ihre Premium-Investition wert sind.
Was sind EV-Zertifikate?
Ein EV-Zertifikat ist die höchste Stufe der SSL Zertifikate. Alle SSL Zertifikate - Extended Validation (EV), Organization Validated (OV) und Domain Validated (DV) - bieten Verschlüsselung und Datenintegrität. Sie unterscheiden sich jedoch darin, wie streng das Verfahren zur Überprüfung der Identität des Website-Besitzers ist. Ein EV-Zertifikat bietet den höchsten Grad an digitaler Identitätssicherheit, indem es die legale Identität eines Website-Besitzers überprüft.
Gemäß den Guidelines for the Issuance and Management of Extended Validation Certificates (Richtlinien für die Ausstellung und Verwaltung von Extended Validation-Zertifikaten ) besteht die Hauptfunktion eines EV-Zertifikats darin:
"Identifizieren Sie die juristische Person, die eine Website kontrolliert: Dem Nutzer eines Internetbrowsers muss hinreichende Gewähr dafür geboten werden, dass die Website, auf die er zugreift, von einer bestimmten juristischen Person kontrolliert wird, die im EV-Zertifikat durch Name, Anschrift des Geschäftssitzes, Gerichtsstand der Gründung oder Eintragung und Registrierungsnummer oder andere eindeutige Informationen identifiziert wird."
Die Bestätigung der Identität der Website erfolgt nach den strengen Richtlinien des CAB-Forums und beinhaltet ein strenges Prüfverfahren durch eine öffentliche Zertifizierungsstelle. Die Zertifizierungsstelle muss die operative und physische Identität der Person, die ein EV-Zertifikat beantragt, bestätigen. Dies geschieht durch die Bestätigung der rechtlichen Identität des Eigentümers der Website und der Tatsache, dass der Antragsteller der Eigentümer und alleinige Inhaber der Domain ist. Aufgrund der strengen Überprüfung der Identität des Website-Besitzers bietet ein EV-Zertifikat ein hohes Maß an Vertrauen für die Besucher der Website.
Vor Herbst 2019 konnte ein Besucher einer EV-validierten Website diese entweder am Namen der Website in grüner Schrift oder an einer grünen Leiste erkennen, die den rechtlichen Namen und den geografischen Standort des Unternehmens anzeigte, das das Zertifikat besitzt. Seit diesem Zeitraum haben jedoch sowohl Mozilla Firefox als auch Google Chrome diese Anzeige entfernt. Alle SSL -Zertifikate zeigen nun ein graues Vorhängeschloss in der Adressleiste des Browsers an.
Wenn Sie wissen möchten, ob die Website ein EV-Zertifikat verwendet, müssen Sie jetzt auf das graue Vorhängeschloss klicken, um dies zu überprüfen.
Was sind die Anwendungsfälle?
Die EV-Zertifikate sind zwar teurer in der Anschaffung und der Verifizierungsprozess ist schwieriger und zeitaufwändiger als bei den übrigen SSL Zertifikaten, aber sie bieten einige greifbare Vorteile.
Erstens können sie das Leben von Social Engineers erschweren. Phishing-Seiten, die sich als legitime Organisationen und Unternehmen ausgeben, stellen eine große Bedrohung für Nutzer und Online-Dienste dar und sind einer der Hauptvektoren für den Diebstahl oder die Gefährdung sensibler und persönlicher Daten. Kriminelle können auf dem Schwarzmarkt recht billige DV-Zertifikate kaufen, um ihre Websites legitim und vertrauenswürdig erscheinen zu lassen und ahnungslose Opfer dazu zu verleiten, unwissentlich finanzielle oder andere persönliche Daten zu übermitteln.
Betrügerische und Phishing-Websites sind ein wachsendes Problem und unterstreichen die Notwendigkeit einer starken Online-Identitätsprüfung. Besucher brauchen eine angemessene Gewissheit über die Identität des Unternehmens, mit dem sie zu tun haben, um Vertrauen zu diesem Unternehmen aufzubauen und zu erhalten und sich bei Online-Transaktionen sicherer zu fühlen. EV-Zertifikate können Geschäftskunden davor schützen, Opfer von Phishing-Angriffen zu werden, da die verifizierte Identität des Website-Betreibers direkt im Zertifikat angezeigt wird.
Abgesehen vom Schutz vor Phishing sind EV-Zertifikate eine hervorragende Möglichkeit, die Einhaltung von Sicherheits- und Datenschutzanforderungen zu demonstrieren, die in verschiedenen Vorschriften, Gesetzen und Verordnungen festgelegt sind. HIPAA, PCI DSS und GDPR verlangen, dass Unternehmen die medizinischen, finanziellen und persönlichen Daten ihrer Kunden vor Verstößen schützen. EV-Zertifikate können Unternehmen dabei helfen, ein erfolgreiches Audit in Bezug auf diese Anforderungen zu gewährleisten.
Trotz der oben genannten Vorteile sind EV-Zertifikate nicht für jeden geeignet. Unternehmen müssen den zusätzlichen Nutzen dieser Zertifikate prüfen. Sie eignen sich am besten für hochkarätige Websites, die von Angreifern häufig für Phishing-Angriffe missbraucht werden, wie z. B. große Einzelhändler, Banken, Finanzinstitute oder öffentlich zugängliche staatliche Einrichtungen. Tatsächlich kann jede Website, die Daten sammelt, Anmeldungen oder Online-Zahlungen verarbeitet, von der Anzeige ihrer verifizierten Markenidentität profitieren. EV-Zertifikate können in allen Anwendungen eingesetzt werden, die eine stärkere Identitätssicherung und ein hohes Maß an Vertrauen erfordern.
Vorteile von EV gegenüber DV-Zertifikaten
Domainvalidierte Zertifikate (kurz DV-Zertifikate) sind die einfachste Form von SSL Zertifikaten. Sie sind kostengünstig zu erhalten, und der Ausstellungsprozess ist schnell. Der Verifizierungsprozess bestätigt, dass die Domäne von der Partei kontrolliert wird, die das Zertifikat beantragt hat. Die Zertifizierungsstelle bestätigt entweder die Domänenadresse, indem sie im WHOIS-Eintrag nachsieht, oder sie stellt eine Verifizierungsdatei zur Verfügung, die der Inhaber auf der zu schützenden Website platziert, oder der Antragsteller erstellt einen DNS -Eintrag, der die Kontrolle über die Domäne bestätigt.
DV-Zertifikate verschlüsseln den Datenverkehr wie jedes andere Zertifikat auch, aber der Grad der Identitätsprüfung ist gering. Der Vorteil von EV-Zertifikaten gegenüber DV-Zertifikaten liegt auf der Ebene der Identifizierung. DV-Zertifikate verifizieren die Identität des Servers, während EV-Zertifikate die legale organisatorische Identität der Website verifizieren. Nimmt man die mangelhaften Zertifikatsverwaltungsverfahren hinzu, die zu kompromittierten oder gestohlenen Zertifikaten führen, wird es noch schwieriger, ein gültiges DV-Zertifikat von einem gefälschten zu unterscheiden. Andererseits ist es seltener, gestohlene EV-Zertifikate auf dem Schwarzmarkt zu finden, und wenn doch, dann sind sie viel teurer als gestohlene DV-Zertifikate.
Es kommt jedoch auf den menschlichen Faktor an. Ein EV-Zertifikat bedeutet, dass die Domäne im Besitz einer eingetragenen juristischen Person ist. Es bedeutet nicht, dass die Website de facto und de jure vertrauenswürdig ist. Im Jahr 2016 wies Troy Hunt zu Recht darauf hin, dass die Wirksamkeit von EV-Zertifikaten davon abhängt, wie Menschen und Organisationen ihren Wert erkennen und sich für ihren Schutz einsetzen. Ein paar Jahre später ist er der Meinung, dass die Tage der Verwendung von EV-Zertifikaten gezählt sind.
Wenn EV-Zertifikate erfolgreich sein sollen, sind jedoch technische Kontrollen für die Verwaltung ihres Lebenszyklus erforderlich, die durchgesetzt werden können, ohne sich auf den Benutzer zu verlassen.
Hier kommt die Automatisierung des Lebenszyklusmanagements von Zertifikaten ins Spiel. Mit Keyfactor können Sie jedes Zertifikat in Ihrem Unternehmen erkennen, verwalten und automatisieren. Die Plattform hilft Ihnen, von einer reaktiven Reaktion zu einer proaktiven Sichtbarkeit und Automatisierung mit einer durchgängig automatisierten Public Key Infrastructure (PKI) und Zertifikatsverwaltungslösung überzugehen.
