Ist die Seite echt?

Über den Newsletter unseres Domainregistrars, der unter anderem auch SSL-Zertifikate anbietet, wurde ich auf die Website www.ist-die-seite-echt.de gestoßen, einer werblichen Website für Extended-Validation-SSL-Zertifikate (im Folgenden kurz EV-Zertifikate genannt), die ich absichtlich nicht direkt verlinke, um ihr nicht noch mehr unverdiente Hits zu verschaffen. Wer nicht weiß, was EV-Zertifikate sind: Das sind die SSL-Zertifikate, die dafür sorgen, dass im Browser die Adressleiste grün wird, und von denen die wenigsten wissen, warum überhaupt. Doch dazu gleich mehr.

Die Werbe-Website soll den Blick dafür öffnen, Phishing-Sites von echten Websites unterscheiden zu können. Dazu werden 10 Mal je zwei Screenshots parallel gezeigt und man soll beurteilen, welche davon die Phishing-Site ist. Nur die ersten fünf sind ein Ratespiel: Bei den zweiten fünf geht es um genau die selben Sites, aber eine davon hat eine grüne Adressleiste – Marketing mit dem Holzhammer.

Im ersten Fall tragen beide Screenshots eine https://-URL unter der identischen Domain. Die zweite trägt einen lustigen Text, der mit „Wir haben einen kleinen Fehler in Ihrem Konto entdeckt. Sie müssen links auf den Anmeldelink klicken“ beginnt, und die Erläuterung verrät: „Auf einer echten Website werden Sie niemals zur Abgabe von Benutzernamen und Passwörtern gezwungen“. Äh, wie meinen? Natürlich zwingen mich auch echte Websites dazu, unter anderem nämlich das Onlinebanking meiner Bank. Wie sonst sollte ich mich auch autorisieren? Mich hätte hier in diesem Fall eher der Sprachduktus des Texts stutzig gemacht, aber wie gesagt: Beide Screenshots zeigen eine Seite unter korrekter URL mit korrektem SSL-Zertifikat – nur eben keinem EV. Fragwürdiges Beispiel.

Im zweiten Fall war die URL gefälscht („http://www.quickmoos.de@12.21.101.4“). Nicht mal SSL-verschlüsselt. Das war leicht.

Im dritten Fall habe ich nun wirklich lange suchen müssen: Beide Sites sahen auf den ersten Blick völlig identisch aus. Beide Sites mit korrekter Domain; beide Sites mit korrektem Zertifikat – nur eben keinem EV. Die Begründung überrascht: Man hätte den linken Screenshot als Phishing-Site identifizieren sollen, weil … dort Rechtschreibfehler auf der Seite sind. Das ist doch nicht euer ernst, VeriSign. Nachdem ich in der Vergangenheit nicht nur Rechtschreibfehler, sondern zum Beispiel auch überhaupt nicht existierende E-Mail-Adressen auf der EV-zertifizierten (!) Website einer Zertifizierungsstelle (!!) der VeriSign-Gruppe (!!!) fand und noch dazu dann mit deren Support zu tun hatte, der überhaupt nicht verstand, wo hier das Problem lag, soll das ein Erkennungsmerkmal für Phishing-Sites sein?!

Beispiel Nummer vier ist nicht SSL-verschlüsselt. Simpel.

Beispiel Nummer fünf ist SSL-verschlüsselt, unter der korrekten Domain, und die Sites zeigen keinen Unterschied. Überraschung: VeriSign tut kund, dass manchmal Phisher so gut darin seien, Seiten zu fälschen, dass man tatsächlich überhaupt keinen Unterschied wahrnehmen könnte, und der einzige Schutz dagegen sei … der Einsatz von EV-Zertifikaten. Whoa!

Nun kann man natürlich zu dem Schluss kommen: Wow, EV-Zertifikate sind das neue geschnitten Brot, und ohne ist eigentlich alles andere unsicher – nicht zuletzt Beispiel Nummer 5 legte ja auch durchaus nahe, dass VeriSign der Meinung ist, ein „normales“ SSL-Zertifikat würde einen offensichtlich nicht vor Phishing schützen.

Unabhängig davon, ob das nun stimmt oder nicht, so ist es doch vor allem eins: Ein Armutszeugnis. Denn VeriSign hört natürlich in keinster Weise damit auf, auch weiterhin genau die Nicht-EV-Zertifikate zu verkloppen, von denen es auf seiner werblichen Website sagt, dass die überhaupt nichts taugen, wenn es darum geht, eine Phishing-Website von einer echten zu unterscheiden. Und zwar zu einem Nettopreis von, festhalten, 349,00 € für ein „Secure Site“- und 895,00 € für ein „Secure Site Pro“-Zertifikat. Und zwar für ein Jahr. Dazu fällt mir nur eins ein: Schamlos. Ein Produkt taugt was, das andere nicht; für diejenigen, denen das, was etwas taugt, aber vielleicht zu teuer ist, bieten wir das, was nichts taugt, aber ruhig weiterhin an. Das hat zwar vielleicht sehr viel mit Betriebswirtschaft zu tun – mit Sicherheit und Vertrauen aber gewiss nichts.

Davon abgesehen stellt sich doch die Frage: Was haben wir denn die ganzen letzten Jahre überhaupt mit SSL gemacht, wenn erst EV der Heilsbringer schlechthin ist und vorher jeglicher Schutz ganz offensichtlich wirkungslos?

Die Wikipedia fasst die Ansichten verschiedenster Quellen prägnant zusammen:

Die Ausgabe von SSL-Zertifikaten ist zwar grundsätzlich an eine Überprüfung des Antragstellers gebunden, der Preisdruck unter den Anbietern hat aber zu einer teilweise laxen Vergabepraxis und zu vereinfachten Zertifikaten geführt, die nicht mehr als den Domain-Namen zertifizieren. […] Kritiker sehen in dem neuen Standard teils den Versuch der Zertifizierungsstellen, sich dem Preiskampf in der SSL-Zertifikat-Ausgabe durch die Einführung eines neuen Premium-Produktes zu entziehen, das dem Benutzer wenig zusätzliche Sicherheit bringt, und das auch mit anderen Mitteln zu erreichen wäre.

Aha. Es ist also die laxe Vergabepraxis der Zertifizierungsstellen gewesen, die die Argumentation nährt, dass heutzutage angeblich alle Nicht-EV-Zertifikate nur Augenwischerei wären. Nur dass VeriSign wie gesagt selbst die laut ihrer eigenen Werbekampagne nicht als sicher erkennbaren Zertifikate weiterhin für sehr teures Geld verkauft (und die EV-Zertifikate dann für extrem teures Geld), während es gleichzeitig Website-Besuchern beibringt, solchen Zertifikaten nicht zu vertrauen, sondern nur denen mit der grünen Adressleiste.

Dazu muss man ein bisschen wissen, wie das alles mit SSL funktioniert. Kurz gesagt: Jeder kann SSL-Zertifikate ausstellen, zum Beispiel mit OpenSSL. Die eigentliche Wertigkeit bekommt ein Zertifikat dadurch, dass es von einer Stelle signiert wird, die überprüft, ob derjenige, der via Zertifikat behauptet, eine bestimmte Person oder ein bestimmtes Unternehmen zu sein, auch derjenige ist. Das kann zum Beispiel anhand der Vorlage eines Personalausweises geprüft werden oder auch anhand eines Handelsregisterauszugs. In einem Client (also zum Beispiel in Webbrowsern, genauso aber auch in Mailclients, in Handys, oder auch ganz allgemein in Betriebssystemen) ist dann eine Liste von Zertifizierungsstellen hinterlegt, die als vertrauenswürdig gelten. Soll heißen: Die Herausgeber jener Clients haben die Entscheidung über die Vertrauenswürdigkeit für den Anwender vorab getroffen. Dafür geben sie sich gewisse Richtlinien; hier als Beispiel die Mozilla CA Certificate Policy. Inweit es gut und richtig ist, Anwendern diese Entscheidung abzunehmen, kann diskutiert werden, aber es dient ohne Frage durchaus der Sicherheit, dem Anwender eine Liste vorzuschlagen (die er selbst ja noch anpassen kann), als ihm die Akzeptanz bestimmter Zertifizierungsstellen grundsätzlich ohne jegliches „Vorschussvertrauen“ selbst zu überlassen, was – Hand aufs Herz – vermutlich dazu führen würde, dass die meisten Anwender einfach ungesehen auf den Ja-und-Amen-Button klicken würden, wenn eine neue, bisher unbekannte Zertifizierungsstelle ins Spiel käme. Insofern muss man realistisch bleiben und sagen: Auch wenn die Vorgabe einer Liste von vertrauenswürdigen Zertifizierungsstellen nicht optimal ist; ohne solche Listen wäre das Sicherheitsdebakel heute sicherlich noch wesentlich schlimmer (oder hätte möglicherweise zu ganz anderen, vielleicht auch besseren Lösungen geführt – aber das ist nur Spekulation).

Festzuhalten bleibt jedenfalls eins: Auch wenn man darüber streiten mag, dass vielleicht die Policies der Browserhersteller schlicht nicht streng genug waren oder schwarze Schafe nicht aggressiv genug entfernt worden sind: Letztlich haben es die Zertifizierungsstellen selbst verbockt. Da finden sich Fälle, wo die Validierung ausschließlich darin besteht, eine Mail unter einer der vorgegebenen Adressen unter der zu zertifizierenden Domain empfangen zu können, wobei die Liste der erlaubten Adressen so umfangreich ist, dass man sich etliche davon einfach bei Freemailern registrieren kann, um flugs ein SSL-Zertifikat zu bekommen, das auf die Domain des Freemailers ausgestellt ist. Aber warum die Mühe, gibt es doch auch „Zertifizierungsstellen“, die Zertifikate gleich ganz ohne irgendeine Art von Prüfung ausstellten – wie hier im prominent gewordenen Fall für mozilla.com. Zwei äußerst lesenswerte Beiträge zu genau dieser Thematik finden sich auch bei mitternachtshacking.de: Teil 1, der sehr griffig die verschiedenen Stufen von Validierung erläutert, und Teil 2, der eine gesunde Portion Paranoia ergänzt.

Zu all diesen Beispielen für Verfehlungen von Zertifizierungsstellen fällt mir nicht mehr viel ein. Außer vielleicht eins: Liebe Zertifizierungsstellen, ihr seid die Letzen, von denen ich mir etwas verkaufen lassen würde, was angeblich einem Mehr an Sicherheit dienen soll. Das, was ihr nun großspurig als Extended Validation verkauft, ist das, was ihr eigentlich schon immer bei allen SSL-Zertifikaten hättet tun sollen. Dass ihr da in der Vergangenheit geschlampt habt und das nun zum Anlass nehmt, den Kunden noch viel teurere Zertifikate zu verkaufen, ist wirklich eine bodenlose Frechheit.

Und noch eins verstehe ich nicht: Nämlich, wieso Browserhersteller diesen „Spaß“ auch noch mitmachen und mit einer besonderen Hervorhebung wie der grünen Adressleiste würdigen, statt einfach eiskalt alle Zertifizierungsstellen aus der Liste zu werfen, die keine vertrauenswürdige Validierung durchführen. Diese Zwei-Klassen-Validierung hat nämlich ein Problem: Normale Anwender verstehen sie sowieso nicht. Kaum ein Anwender kann mir erklären, was denn nun bei einem grünen Zertifikat so besonders geprüft worden sei, dass erklärt wäre, warum es so besonders aussieht. Es sieht einfach nur besser aus. Und der perfide Umkehrschluss ist nämlich folgender: Die Zertifizierungsstellen können jetzt lauthals tönen, dass das einfache Schloss-Symbol im Browser nicht mehr aussagekräftig sei; es müsse schon die grüne Adressleiste sein – und damit den Druck auf Webmaster zu erhöhen, sich dieses überteuerte Schlangenöl zuzulegen. Damit diejenigen, die neben all den technischen Sicherheitsproblemen von SSL die mit Abstand größte Sicherheitslücke im System darstellen, künftig noch mehr Geld verdienen.

Christopher ergänzte, dass es früher wohl üblich war, dass die Zertifizierungsstellen den Browserherstellern eine nicht unerhebliche Menge Geld dafür in den Rachen warfen, um auf die Liste der vertrauenswürdigen Zertifizierungsstellen zu kommen, was mit der Folgerung „Finanzielles Interesse!“ eine veritable Erklärung für die im vorherigen Absatz aufgeworfene Frage darstellt:

Back in the early days of SSL Netscape charged CAs rather large fees to have their root certificates included in Netscape products.

Allerdings ist das heute offensichtlich nicht der Fall; weder Apple noch Opera noch Microsoft nehmen Geld für die Aufnahme in die Liste, und communitybasierte Produkte wie Firefox und Thunderbird erwartungsgemäß auch nicht. Damit bleibt die Frage des vorherigen Absatzes weiterhin offen.

Ach ja: An die Werbe-Website schließt sich übrigens ein „Gewinnspiel“ namens „SSL EV Race“ ein. Zu gewinnen gibt’s ein iPad. Bei einem Gewinnspiel wird typischerweise ein Preis ausgelost. Das ist hier aber überhaupt nicht der Fall. Das iPad bekommt nämlich derjenige, der in der vorgegeben Zeit die meisten EV-Zertifikate verkloppt hat. Insofern ist die Angelegenheit dann doch wirklich eher ein Rennen als ein Gewinnspiel. Und an diesem werden wir definitiv nicht teilnehmen – wollen.