Die meisten Banken, Versicherungen, Makler und Kreditkartenunternehmen setzen auf ihren Websites Zertifikate mit Extended Validation (EV) ein, um die Interaktion mit ihren Kunden abzusichern und Besuchern zu zeigen, dass die Website von einem legitimen Unternehmen betrieben wird. Das führt unter anderem dazu, dass in der Adressleiste des Browsers neben dem Namen des Unternehmens ein Vorhängeschloss-Symbol (oft in Grün) angezeigt wird. So wissen Sie als Kunde, dass die Identität des Unternehmens überprüft wurde. Zu den überprüften Angaben im Zertifikat gehören zum Beispiel Land, Anschrift und die Eintragung des Zertifikatsinhabers ins Handelsregister.
Da Finanzinstitute wertvolle Informationen wie personenbezogene Daten besitzen, waren sie schon immer ein beliebtes Angriffsziel für Betrüger und wissen, wie wichtig es ist, die Legitimität ihrer Website unter Beweis zu stellen und wie sehr ihre Kunden Extended Validation zu schätzen wissen. Natürlich werden EV-Zertifikate nicht nur für die Authentifizierung von Websites genutzt, doch bevor wir uns andere Anwendungsbereiche ansehen, möchte ich kurz zusammenfassen, warum Finanzdienstleister diese Methode verwenden:
Doch in welchen anderen Bereichen kommt Extended Validation zum Einsatz? Da ist zum einen die Cyber-Sicherheit in Unternehmen: IT-Abteilungen nutzen EV zum Beispiel, um zu prüfen, ob bestimmte Websites zum Unternehmen gehören, und um Regeln in interne Firewalls aufzunehmen. Außerdem wird diese Validierungsmethode häufig für Managed Security Services, interne Audits und zur Überprüfung von Compliance-Vorgaben verwendet.
In der Europäischen Union erfüllt die Extended Validation noch einen ganz anderen Zweck: 2016 wurde das europäische Signaturgesetz von 1999 durch die EU-Verordnung eIDAS abgelöst und es wurden QWACs (Qualified Website Authentication Certificates) eingeführt. Dabei handelt es sich um eine besondere Form der EV-Zertifikate mit zusätzlichen Informationen. So erfordert zum Beispiel die neue EU-Zahlungsrichtlinie PSD2, dass bestimmte Finanzdienstleister für ihre europäischen Kunden QWACs verwenden. Diese Bestimmung gilt seit Juni 2019 und einige Zertifizierungsstellen stellen diese Zertifikate bereits für Banken und andere Finanzinstitute im EU-Raum aus.
Um Endbenutzer ausreichend zu schützen, wird weiterhin daran gearbeitet, die Qualität der Authentifizierung für Online-Unternehmen zu verbessern. Dabei konzentrieren sich die Verantwortlichen vor allem darauf, Inkonsistenzen in Browsern auszumerzen.
Und das ist auch gut so, denn der Browser ist eins der größten Ärgernisse bei der Extended Validation, genauer gesagt, die inkonsistente Darstellung der EV-Zertifizierung. In manchen Browsern wird der Name des Unternehmens in Grün angezeigt, in anderen ist er grau. Mindestens ein Browser zeigt den Firmennamen gar nicht an; stattdessen erscheint dort der Domainname, in Grün. Einige Browser-Anbieter haben schon entsprechende Änderungen angekündigt oder vorgenommen, aber es gibt auch solche, die die Darstellung von Zertifikaten seit Jahren nicht angepasst haben.
Welche Änderungen sind in Aussicht?
Bis dahin lohnt es sich aus den oben genannten Gründen nach wie vor, EV-Zertifikate auf Websites von Finanzinstituten und anderen Unternehmen, die sensible Daten verarbeiten, zur Bestätigung der Authentizität zu verwenden – auch dann, wenn der Name des Zertifikatsinhabers nicht angezeigt wird. Denn was nutzt die beste Verschlüsselung, wenn wir gar nicht wissen, an wen wir unsere Daten schicken?
Wie gesagt plant DigiCert, der Security-Community in den kommenden Monaten Ergänzungen zu den Standards für Extended-Validation-Zertifikate vorzuschlagen, und wir freuen uns darauf, den Dialog über die Rolle der Identität in allen Bereichen unserer vernetzten digitalen Welt fortzuführen.