So genannte Extended-Validation-Zertifikate der jüngsten Browserversionen sollen für mehr Sicherheit beim Online-Einkauf sorgen sowie bei Verbrauchern Vertrauen schaffen. Noch sind sie wenig verbreitet, Anbieter können sich daher mit ihnen profilieren.
Als Internetsurfer hat man sich daran gewöhnt, dass sich Websites und Browseraufmachung nahezu ständig ändern. Neues nimmt man als gegeben hin, meist ohne groß drüber nachzudenken. Internetkriminelle nutzen das immer wieder aus, um mit oft recht gut gemachten Phishing-Sites Passwörter, Kontodaten oder andere geheime Informationen auszuspähen. Davor gibt es zwar für Website-Betreiber und -Besucher mit Zertifikaten einen Schutz, er wird aber allmählich verwässert.
Der äußere Ausdruck eines Zertifikats - das kleine geschlossene Schloss im Browser - wird erstens kaum noch wahrgenommen, zweitens ist es von einer steigenden Zahl von Zertifikatsausstellern immer leichter zu erhalten. Manchmal genügt schon der Nachweis, dass die angegebene E-Mail-Adresse und die Domäne, für die das Zertifikat beantragt wurde, wirklich existieren, um eines zu erhalten. In anderen Fällen jedoch prüft der Zertifikatsaussteller sogar den Handelsregisterauszug oder verlangt sogar, dass sich der Antragssteller persönlich ausweist.
Bei solchen Unterschieden im Aufwand ist klar, dass viele Online-Anbieter nach der für sie einfachsten und meist auch günstigsten Möglichkeit Ausschau halten. Artur Heil, europäischer Marketing- und Vertriebsleiter beim Anbieter TC Trustcenter[1] sieht darin jedoch eine Gefahr: Er plädiert dafür, dass seriöse Shop-Betreiber die Kosten für aufwändige Zertifikate nicht scheuen sollten, seien doch auch die inzwischen vergleichsweise günstig erhältlich. Denn mit neuen Merkmalen der aktuellen Browsergeneration sei nun auch für Verbraucher schnell erkennbar, dass es sich um einen Anbieter handelt, der auf Sicherheit Wert legt. Das könne durchaus Umsatzzuwächse im untern zweistelligen Bereich bringen.
Laut Bitkom[2] wollen dieses Jahr rund 10,5 Millionen Deutsche Weihnachtsgeschenke im Internet[3] erwerben, weitere 7,7 Millionen haben zumindest Interesse am Online-Kauf von Weihnachtsgeschenken. Übers Jahr gesehen kauften laut dem Bundesverband des deutschen Versandhandels (BVH[4]) über 31 Millionen Deutsche online ein und gaben dabei 19,3 Milliarden Euro für Waren und Dienstleistungen aus.
Doch genau wie auf dem Weihnachtsmarkt die organisierten Taschendiebe lauern, freuen sich auch im Internet die Kriminellen schon auf gute Geschäfte in der Advents- und Weihnachtszeit. Dass ist den Verbrauchern auch klar: Laut der aktuellen W3B-Studie von Fittkau & Maaß[5] fühlen sich nur fünf Prozent der befragten Internet-Nutzer wirklich wohl, was ihre persönlichen Daten anbelangt. Die Schlussfolgerung aus diesen Fakten: Es könnten noch mehr Käufer noch mehr Produkte online erwerben, wenn sie Vertrauen in die Sicherheit und Seriosität der Anbieter hätten.
Dass muss sich auch das CA/Browser Forum[6] bei der Vorstellung der Extended-Validation-Zertifikate (kurz EV) gedacht haben. Sie sollen nämlich eine einfache und zuverlässige Orientierungshilfe bieten, um die Vertrauenswürdigkeit einer Website einschätzen zu können - und vor allem, um sicher zu sein, dass man wirklich beim gewünschten Anbieter gelandet ist.
Technisch gesehen sind EV-Zertifikate nicht revolutionär, setzen sie doch auf das bewährte SSL-Protokoll auf. In Kombination mit der jüngsten Browsergeneration sorgen sie aber für eine rasche und gut verständliche Identifizierung. Und sie sind an strenge Vergabekriterien gebunden.
Bei herkömmlichen SSL-gesicherten Websites wird diese Tatsache nur durch ein kleines Schloss im Browserfenster gekennzeichnet. Nur umständlich lassen sich weitere Informationen zum Website-Inhaber und zur ausstellenden Zertifizierungsstelle ermitteln - die dazu für den Anwender noch wenig aussagekräftig sind, wenn er nicht gerade Experte ist.
Extended Validation bietet dagegen im Zusammenspiel mit aktuellen Browsern beim Aufruf einer gesicherten Seite auf den ersten Blick klare Signale für die Vertrauenswürdigkeit der Site, indem sich die gesamte Adressleiste oder ein Teil davon grün färbt. In einem benachbarten Feld werden zudem abwechselnd der Namen des Websitebetreibers sowie der für das Zertifikat verantwortlichen Zertifizierungsstelle angezeigt.
Browser, die die erweiterte Signal- und Anzeigefunktion standardmäßig unterstützen, sind der Internet Explorer 7, Firefox 3, Opera 9.5 sowie Apple Safari 3.2. Beim Internet Explorer 7 steht die Funktion allerdings nur bei der gleichzeitigen Nutzung von Vista automatisch zur Verfügung. Unter XP steht sie erst nach einer Root-Upgrade-Funktion von Microsoft, dem sogenannten EV Upgrade, bereit. Dieses Update sollte jedoch automatisch beim ersten Besuch einer mit EV-Zertifikat geschützten Website im Hintergrund ausgeführt werden.
 |
| Die Website der Deutschen Bank ist im Transaktionsbereich etwa mit EV-Zertifikaten gesichert. Ein Klick auf das Schloss-Symbol zeigt den Namen von Website-Inhaber und Zertifizierungsstelle an (Bild: ZDNet.de) |
Die Kosten für die Zertifikate variieren je nach Anzahl der Server und Wahl der Absicherung sowie der Dauer des abgeschlossenen Vertrags. Insgesamt gesehen halten sie sich aber im Rahmen. Beim in Deutschland bekanntesten Anbieter Verisign[9] beträgt der Basispreis für eine Serverlizenz der EV-SSL-Zertifikate rund 900 Euro, SSL-Zertifikate kosten 349 Euro. Bei TC Trustcenter mit Sitz in Hamburg ist das als "True Business ID[10]" vermarktete EV-SSL-Zertifikat ab 649 Euro erhältlich.
 |
| So wird das EV-Zertifikat nach dem Klick auf den grün eingefärbten Teil der URL im Firefox-Browser angezeigt (Bild: ZDNet.de). |
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/