Als das Schloss damals in den Kindertagen des Internets durch Netscape erfunden wurde, stand es für sichere Verbindungen mit einer identifizierten Website. „Dies änderte sich, als einige Zertifizierungsstellen ihre Überprüfungsstandards lockerten, um Billigzertifikate auf den Markt zu bringen“, kommentierte die Vizepräsidentin für den Bereich Marketing bei Comodo, Judy Shapiro.
„Die Browser haben diese Problematik gekonnt umschifft. Schließlich rechnete niemand damit, dass manche Betreiber einen grundlegenden Vorgang des Vergabeverfahrens umgehen könnten, nämlich die Geschäftsüberprüfung. Die Browser waren nicht in der Lage, nach unterschiedlichen Kriterien vergebene Zertifikate entsprechend zu kennzeichnen“, so Shapiro weiter.
All dies soll sich jedoch in diesem Jahr ändern, da Microsoft die Einführung des Internet Explorer 7 plant und auch die Hersteller anderer Webbrowser Änderungen beim Umgang mit SSL-Zertifikaten erwägen.
 Das Schlosssymbol im aktuellen Internet Explorer weist darauf hin, dass die Website zertifiziert ist – gibt jedoch keine Auskunft über den Grad der Verifizierung. |
Dieses Vorgehen der Browser-Hersteller ist einer der Gründe weshalb sich Zertifizierungsstellen wie Verisign, Comodo, Geotrust und Cybertrust zum CA Forum zusammengeschlossen haben, um eine branchenweite Vereinbarung über ein neues, streng geprüftes Zertifikat zu erzielen. Laut Vertretern der Mitgliedsunternehmen hat die Gruppe sich 2005 bereits dreimal auf informeller Ebene in New York, Boston und Montreal getroffen, um an Standardrichtlinien für die Vergabe dieser Zertifikate zu arbeiten.
„Zertifizierungsstellen und Browser-Anbieter versuchen gemeinsam Kriterien für Zertifikate mit hohem Sicherheitsstandard festzulegen“, sagte Spiros Theodossiou, Produktmanager der weltweit größten Zertifizierungsstelle Verisign. „Wir versuchen einen Standard zu erstellen, mit dem Verbraucher sicher gehen können, dass die Website, auf der sie sich gerade befinden, auch wirklich zu einer bestimmten Organisation gehört.“
Diese Art von Standard fehlt bislang. Die Zertifikatanbieter wenden alle unterschiedliche Kriterien an. So erhält ein Zertifikat mit dem Namen Verisign nur derjenige, der nachweist, dass sein Unternehmen im Handelsregister eingetragen und berechtigt ist, eine bestimmte Internetdomäne zu verwenden. Verisign überprüft ferner, ob der Mitarbeiter, der das Zertifikat erwirbt, auch dazu berechtigt ist. Der Digitalzertifikatanbieter Geotrust verwendet wiederum ein automatisches Prüfsystem und Thawte (ein Unternehmen der Verisign-Gruppe) vergibt Zertifikate bereits, wenn eine E-Mail-Bestätigung vorliegt.
Laut Chris Bailey, CTO bei Geotrust, werden die neuen hochsicheren Zertifikate über die Leistung der Zertifikate von heute hinausgehen. „Sie binden den Domänennamen einer Website an eine Organisation. Ferner bestätigen sie die Bevollmächtigung des Antragstellers im Namen einer Organisation zu handeln sowie das Bestehen des Unternehmens selbst“, so Bailey weiter.
Die Zertifizierungsstellen erarbeiten derzeit ein objektives und branchenübergreifendes Prüfverfahren bei Zertifikaten für hohe Sicherheit. Laut Aussagen von Vertretern einiger Zertifizierungsstellen haben die Unternehmen bei der Erarbeitung dieser Richtlinien die Amerikanische Anwaltskammer als unabhängiges Mitglied hinzugezogen.
„Wir sind schon weit voran gekommen und denken, Mitte des Jahres ein funktionierendes Produkt vorstellen zu können“, erklärte Bailey. Auch Verisign und Comodo können den neuen Zertifizierungstyp voraussichtlich dieses Jahr anbieten.
Neueste Kommentare
Noch keine Kommentare zu Strengere Standards für sicheres Browsen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.