Die Unterschiede zwischen den drei Arten von SSL-Zertifikaten – Domainvalidierung (DV), Unternehmensvalidierung (OV) und Extended Validation (EV) – lassen sich am besten erläutern, wenn man zunächst darauf eingeht, was Zertifikate sind und wie diese von dazu berechtigten Zertifizierungsstellen (CAs) wie DigiCert ausgestellt werden. CAs sind vertrauenswürdige Dritte, die TLS/SSL-Zertifikate ausstellen, indem sie verschiedene Details über eine Website und deren Eigentümer bestätigen.
TLS/SSL-Zertifikate haben zwei Aufgaben. Zum einen stellen sie eine sichere Verbindung mit einer Website her, indem sie die Daten verschlüsseln, die zwischen Besuchern und der Domain hin- und hergehen. Zum anderen werden vor Ausstellung des Zertifikats die Inhaberschaft und die Identität der Firma oder der Person überprüft, die hinter der URL steht. Wie ein Ausweis in der analogen Welt ist ein digitales Zertifikat im Prinzip der Nachweis Ihres Rechts, Ihr Unternehmen oder Ihre Organisation online zu vertreten.
Die Namen der einzelnen Zertifikate stehen für die Validierungsschritte, die vor Ausstellung des Zertifikats durchlaufen wurden. Ein Zertifikat mit Domainvalidierung (DV) beispielsweise besagt, dass eine einfache Überprüfung des Eigentümers einer URL stattgefunden hat, während bei einer Unternehmensvalidierung (OV) der Domaineigentümer überprüft und das zur URL gehörende Unternehmen authentifiziert wird. Zertifikate mit Extended Validation (EV) sind besonders sicher und basieren auf umfangreichen Identitätsprüfungen: Für den Eigentümer der Domain, die Unternehmensform und die juristische Person des betreffenden Unternehmens.
Auf der Ebene DV ist der Ablauf recht simpel: Der Käufer muss lediglich beweisen, dass er über die Kontrolle der Domain oder URL verfügt. Zu diesem Zweck sendet die CA eine E-Mail an den Domaineigentümer (laut Eintrag in der WHOIS-Datenbank). Dieses Vorgehen ist praktisch, wenn Sie rasch ein Zertifikat brauchen. Da es sich aber um den niedrigsten Standard im Internet handelt, ist seine Vertrauenswürdigkeit nur gering.
OV- und EV-Zertifikate dagegen werden ohne zusätzliche Validierungsebenen und -schritte nicht ausgestellt. Die CA muss bei beiden Arten von Zertifikaten sowohl den Domaineigentümer als auch verschiedene Informationen über das dazugehörige Unternehmen, darunter Name, Organisationsform, Status und Geschäftsadresse, überprüfen.
Bei einem Zertifikat mit EV kommen neun zusätzliche Schritte hinzu: Unter anderem wird überprüft, ob die öffentliche Telefonnummer des Unternehmens stimmt, wie lange das Unternehmen bereits geschäftlich tätig ist und wo und unter welcher Nummer es gerichtlich eingetragen ist. Außerdem erfolgt ein Abgleich mit Sperrlisten, eine Überprüfung auf Domainbetrug und ein Telefonanruf zum Nachweis der Berechtigung des beantragenden Mitarbeiters.
Die Sicherheit von Marken im Web kann auf unterschiedlichen Ebenen validiert werden: von fast gar nicht bis zur umfassenden Validierung.
Jeder TLS/SSL-Zertifikatstyp weist Endkunden auf den Grad der Identitätsprüfung hin, dem sich Ihr Unternehmen für die Ausstellung des Zertifikats unterziehen musste. Außerdem wird Ihren Kunden signalisiert, dass die Website verschlüsselt ist.
SSL-Zertifikate mit Domainvalidierung (DV) benötigen zu ihrer Ausstellung den geringsten Grad an Identitätsüberprüfung. Selbst bösartige Bots können schnell und einfach ein solches Zertifikat erhalten. Diese Zertifikate sind kostengünstig und erfordern nur den Nachweis, dass das Unternehmen oder die Person die Kontrolle über die Web-Domain hat, für die das Zertifikat gelten soll.
Bei Ausstellung eines DV-Zertifikats erhält der Eigentümer der Website eine Bestätigungs-E-Mail von der ausstellenden CA an die E-Mail-Adresse, die im WHOIS-Eintrag der Domain registriert ist. DV-Zertifikate werden in der Regel von Websites verwendet, die keine Kreditkarten- oder sonstigen Zahlungstransaktionen tätigen.
Arten von Websites, die DV-Zertifikate nutzen:
Für die Unternehmensvalidierung (OV) eines Zertifikats ist die Überprüfung von neun Arten von Hintergrundinformationen erforderlich. Diese Art der Validierung gilt als guter Mittelweg für Unternehmen. Mit OV-Zertifikaten bestätigt die CA ähnlich wie bei DV-Zertifikaten den Eigentümer der Domain.
Der Unterschied zur DV ist, dass die CA noch weitere Schritte unternimmt, um zu bestätigen, dass die für das Zertifikat angegebene Unternehmensform (z. B. GmbH, AG, Ltd., Inc. usw.) zutreffend ist und das Unternehmen gut beleumundet ist.
Sie eignet sich für folgende Arten von Websites und -seiten:
Im Rahmen der Extended Validation (EV) nimmt die Zertifizierungsstelle 18 Überprüfungen vor. Aufgrund dieser strengen Anforderungen schützen EV-Zertifikate die Identität der betreffenden Marke besonders gut.
Zusätzlich zu den für DV- und OV-Zertifikate durchgeführten Authentifizierungsschritten wird dabei überprüft, ob das Unternehmen tatsächlich tätig ist, ob seine Postanschrift stimmt und ob die Kontaktperson, die das Zertifikat anfordert, tatsächlich bei dem Unternehmen arbeitet.
Diese Art der Validierung eignet sich für folgende Arten von Websites und -seiten:
Das Validierungsteam von DigiCert lehnt jährlich etwa 3.750 EV-Zertifikate ab, nicht zuletzt auch wegen betrügerischer Absichten.
Wer auf das Schloss dort klickt, bekommt die Identität des Website-Betreibers zu sehen. Leider verfügen mittlerweile die meisten Phishing-Websites über ein Schlosssymbol und ein DV-Zertifikat. Verlassen Sie sich deshalb nicht nur darauf, das Schloss in der Adressleiste zu sehen. Wenn die Website im Zertifikat keine Identität preisgibt, sollten Sie dort keine personenbezogenen Informationen eingeben. Wird hingegen der Name des Unternehmens angezeigt, können Sie fundiert entscheiden, ob Sie der Website vertrauen wollen oder nicht.
Die EU setzt sich seit Längerem für höhere Online-Sicherheitsstandards und eine stärkere Authentifizierung zum Schutz der Nutzer im Internet aus. Im Jahr 2015 verabschiedete die EU-Kommission die zweite Zahlungsdiensterichtlinie (meist kurz als PSD2 bezeichnet) zur Regulierung von Zahlungsdiensten, zur Vereinheitlichung des europäischen Markts für Zahlungsdienste und zum Schutz von Verbrauchern durch mehr Sicherheit bei Zahlungen. Die PSD2 trat im Januar 2018 in Kraft. Sie fordert von Banken und anderen Online-Zahlungsdienstleistern den Einsatz so genannter qualifizierter Zertifikate (Qualified Certificates oder QCs). Dies sind rechtskräftige elektronische Signaturen, die noch schwieriger zu erlangen sind als EV-Zertifikate.
Angesichts der Weiterentwicklung des Internets und immer häufiger vorkommender Online-Verletzungen von Identitätsstandards engagiert sich DigiCert aktiv im Certification Authority Browser (CA/B) Forum für die Schaffung höherer Online-Identitätsstandards. Unserer Meinung nach ist eine authentische Online-Identität heute genauso wichtig wie unsere physische Identität in der analogen Welt. In einer immer stärker digital vernetzten Welt ist eine Aushöhlung von Online-Identitätsstandards extrem schädlich für das öffentliche Vertrauen in seriöse Unternehmen.