D-Trust kritisiert Laufzeitverkürzung von TLS-Zertifikaten

Dr. Kim Nguyen, Geschäftsführer von D-Trust, ist gegen die Verkürzung von TLS-Zertifikaten (Bild: D-Trust)

24984-D-Trust-Kim-Nguyen

Dr. Kim Nguyen, Geschäftsführer von D-Trust, ist gegen die Verkürzung von TLS-Zertifikaten (Bild: D-Trust)

Seit Anfang September gelten verkürzte Laufzeiten für Transport-Layer-Security-Zertifikate (TLS-Zertifikate), mit denen sich Webseiten durch Verschlüsselung und Identifikation des Clients beim Server absichern lassen. Nach zuvor zwei Jahren und ursprünglich sogar fünf Jahren dürfen TLS-Zertifikate nun maximal 13 Monate (397 Tage) gültig sein.

Während sich die Browserhersteller davon mehr Sicherheit versprechen, zeigt sich Dr. Kim Nguyen, Geschäftsführer von D-TRUST – einem Unternehmen der Bundesdruckerei und Anbieter digitaler Zertifikate – skeptisch: »Kürzere Laufzeiten von Website-Zertifikaten können sogar zu mehr Unsicherheit im Netz führen: Eine reduzierte Gültigkeitsdauer für alle Zertifikatstypen verringert aufgrund des zusätzlichen Aufwands die Attraktivität von TLS-Zertifikaten mit Identitätsprüfung.« Wie wichtig deren Beitrag für eine sichere Online-Kommunikation sei, zeige der Betrug bei den Corona-Soforthilfe-Anträgen im Frühjahr dieses Jahres. Der Einsatz identitätsgeprüfter Zertifikate hätte mit hoher Wahrscheinlichkeit einen Missbrauch verhindert: Die Antragsteller hätten laut Nguyen über die Anzeige der Zertifikatsinformationen feststellen können, ob sie sich auf einer vertrauenswürdigen Behörden-Webseite befinden – oder einer Phishing-Seite von Betrügern. Zudem weist Nguyen auf die politische Dimension der Verkürzung hin: »Europa setzt bei der Internet-Sicherheit auf Zertifikate mit einer gründlichen Identitätsprüfung und hoher Rechtsverbindlichkeit – von der nun vorgegebenen Verkürzung profitieren jedoch vor allem Angebote mit niedrigem Sicherheitsniveau, für den Anwender sinkt der Verbraucherschutz.«

Browserhersteller haben Verkürzung herbeigeführt

Die Entscheidung für verkürzte Laufzeiten von TLS-Zertifikaten wurde vom CA/Browser-Forum im Juli 2020 getroffen. Das Forum ist eine Plattform für den Austausch zwischen Zertifikatsanwendern – also beispielsweise den großen Browserherstellern aus den USA – und den sogenannten Certificate Authorities (CA), die Zertifikate ausstellen und zu denen auch D-Trust zählt. Anfangs von einem Browser-Hersteller forciert, ist laut D-Trust das gesamte Forum auf starken Druck der anderen Browseranbieter auf diesen Kurs eingeschwenkt. »D-Trust als europäischer CA ist von der Laufzeitverkürzung betroffen: Wir verstehen uns als Anbieter von Zertifikaten mit den höchsten Sicherheitsniveaus, also ausführlicher Identitätsprüfung – diese werden jetzt für Anwender unattraktiver«, erläutert Nguyen.

Höherer Aufwand bei verkürzten Laufzeiten

D-Trust konzentriert sich auf organisationsvalidierte und erweitert validierte Zertifikate mit Identitätsinformationen (OV-, EV- und QWAC-Zertifikate). Hierbei wird die Identität des Webseitenbetreibers gründlich geprüft. Das erfordert einen höheren Aufwand, der jetzt in immer kürzeren Abständen notwendig ist. Der Mehraufwand für Webseitenbetreiber bei Laufzeitverkürzungen lässt sich zwar durch automatisierte Prozesse vermeiden, doch kann dies in der Regel nur von Unternehmen mit spezialisierten IT-Abteilungen oder Dienstleistern umgesetzt werden. Es besteht daher die Gefahr, dass Anwender aufgrund des höheren Aufwands eher zu sogenannten domainvalidierten Zertifikaten (DV-Zertifikate) tendieren. Bei DV-Zertifikaten wird die Identität des Antragstellers im Antragsprozess nicht überprüft.

Bei der Internet-Sicherheit konzentrieren sich die Browserhersteller auf die technischen Aspekte. Im Mittelpunkt steht dabei der verschlüsselte Datentransfer zwischen Webseiten und dem Computer des Internet-Nutzers. Kürzere Laufzeiten verringerten laut Browserhersteller allgemein das Zeitfenster, in denen TLS-Zertifikate gefährdet sind oder missbraucht werden können. Langfristig erhoffen sich die Browser davon, dass sie gänzlich auf die Zertifikatvalidierung verzichten können, um die Geschwindigkeit der Browser zu beschleunigen. Dies erhöht jedoch nach Ansicht von Nguyen für Nutzer das Risiko, Opfer von Phishing-Attacken zu werden.

Studie stützt den Zertifikatsansatz

Ergebnisse einer aktuellen Studie der RWTH Aachen University verdeutlichen, dass für ein Optimum an Internet-Sicherheit nicht nur technische Maßnahmen notwendig sind, sondern auch ein Identitäts-Check bei Zertifikaten. Laut der Studie nutzten 49,4 Prozent der 2018 entdeckten Phishing-Webseiten das HTTPS-Protokoll. HTTPS-Webseiten übertragen die Daten verschlüsselt und signalisieren dem User damit Sicherheit. Eine Verschlüsselung allein ist also kein Kennzeichen sicherer Webseiten. Dass kürzere Zertifikatslaufzeiten die Sicherheit verbessern, wird durch die Analyse ebenfalls nicht bestätigt. Im Gegenteil: Die Gültigkeitsdauer sicherer Webseiten ist mit durchschnittlich 412 Tagen länger als diejenige gefälschter Webseiten mit 252 Tagen. Auch bei der ausgewählten Methode der Identitätsprüfung gibt es ein eindeutiges Ergebnis: 84,6 Prozent der Phishing-Angriffe werden über Webseiten durchgeführt, die entweder ausschließlich DV-Zertifikate oder gar keine Zertifikate enthalten. Hingegen besaßen nur 0,4 Prozent der gefälschten Webseiten ein EV-Zertifikat mit umfangreicher Identitätsprüfung.

Stärkung der digitalen Souveränität Europas nötig

Die EU-Kommission hat deshalb bereits 2014 in der Verordnung über elektronische Identifizierung und Vertrauensdienste das qualifizierte Webseitenzertifikat (QWAC) definiert. Ziel ist es, in ganz Europa eine sichere und vertrauenswürdige elektronische Kommunikation zu etablieren.

Allerdings erkennen die Browserhersteller QWACs bislang nicht an: Diese besonders sicheren Website-Zertifikate werden weder verarbeitet, noch im Browser angezeigt. Jetzt kommen zusätzlich die kürzeren Laufzeiten hinzu, die den Trend hin zu Zertifikaten ohne Identitätsnachweis verstärken. »Das Vorgehen von Google und Co. beim Umgang mit Website-Zertifikaten zeigt, dass eine starke Abhängigkeit der digitalen Sicherheitsinfrastrukturen in Europa von den Browserherstellern besteht«, so Nguyen.

Es gelte viel mehr, die digitale Souveränität Europas zu stärken. Browserhersteller müssten endlich die Verarbeitung und Anzeige der QWACs unterstützen. Wichtig wäre es zudem, den Sicherheitsstatus der QWACs verlässlich zu visualisieren, zum Beispiel durch das »EU Trust Mark Logo«. Diese Lösungsvorschläge werden auch vom Digitalverband Bitkom geteilt, der jüngst ein umfangreiches Positionspapier zum Thema veröffentlichte.

About the Author: Annette Stadler

Annette Stadler ist IT-Journalistin und leitet das Online-Portal ECMGUIDE.