Kommentar zu verkürzten Laufzeiten für SSL-/TLS-Zertifikate Bringen verkürzte Laufzeiten für Website-Zertifikate mehr Sicherheit?

Autor / Redakteur: Enrico Entschew / Peter Schmitz

Seit dem 1. September 2020 gelten neue verkürzte Laufzeiten für SSL-/TLS-Zertifikate. Akzeptiert werden nur noch Zertifikate mit einer maximalen Laufzeit von 13 Monaten (397 Tage). Die Browserhersteller versprechen sich davon mehr Sicherheit in der Internet-Kommunikation, aber wird die Online-Kommunikation durch eine reduzierte Gültigkeitsdauer wirklich sicherer?

Firmen zum Thema

„Kürzere Laufzeiten für Website-Zertifikate führen nicht zu mehr Sicherheit bei der Online-Kommunikation“ sagt PKI-Experte Enrico Entschew.
„Kürzere Laufzeiten für Website-Zertifikate führen nicht zu mehr Sicherheit bei der Online-Kommunikation“ sagt PKI-Experte Enrico Entschew.
(Bild: gemeinfrei / Pixabay )

Die Browserhersteller versprechen sich von einer verkürzten Laufzeit für SSL- und TLS-Zertifikate mehr Sicherheit in der Internet-Kommunikation. Ihr Ziel ist es, dass Zertifikate in immer kürzeren Abständen ausgetauscht werden, idealerweise in wenigen Tagen. Damit einher geht die Hoffnung der Browserhersteller, dass sie letztlich gänzlich auf die Zertifikatsvalidierung verzichten können, um die Geschwindigkeit ihrer Browser zu beschleunigen. Doch wird die Online-Kommunikation durch eine reduzierte Gültigkeitsdauer wirklich sicherer?

Zertifikat ist nicht gleich Zertifikat

Fakt ist, dass der Missbrauch durch gefälschte Webseiten steigt. Aktuelles Beispiel dafür ist der Betrug bei den Corona-Soforthilfen im Frühjahr 2020. Cyberkriminelle registrierten eine der Original-URL ähnlich klingende Fake-Webseite und veröffentlichten diese im Internet. Dort gaben viele Anwender ahnungslos ihre persönlichen Daten preis. Mit diesen Informationen stellten die Cyberkriminellen dann auf den Originalseiten Anträge und kassierten Gelder ab. Wie kritisch die Situation besonders in Deutschland ist, zeigt eine Studie des Sicherheitsdienstleisters Venafi: Demnach sind hierzulande die Webshops der 20 größten Online-Händler über 7.000 Mal nachgebaut worden.

Verkürzte Laufzeiten werden an dieser Situation meiner Ansicht nach nichts ändern. Die RWTH Aachen University kommt in einer groß angelegten Untersuchung über Phishing-Websites zu dem Ergebnis, dass kürzere Laufzeiten die Internet-Sicherheit nicht verbessern. Die Gültigkeitsdauer sicherer Webseiten ist mit durchschnittlich 412 Tagen länger als diejenige gefälschter Webseiten mit 252 Tagen.

Entscheidend für deren Sicherheit und Echtheit ist vielmehr der eingesetzte Zertifikatstyp. Als resistenter gegen Cyberangriffe erwiesen sich in der Untersuchung sogenannte organisationsvalidierte und erweitert validierte Zertifikate (OV-/EV-Zertifikate). Bei diesen wird die Identität des Webseitenbetreibers durch eine vertrauenswürdige Institution, den Vertrauensdiensteanbieter oder Trustcenter, gründlich geprüft. Laut RWTH Aachen besaßen nur 0,4 Prozent der gefälschten Webseiten ein EV-Zertifikat mit umfangreicher Identitätsprüfung. Umgekehrt sind Zertifikate mit dem geringsten Sicherheitsniveau, sogenannte domainvalidierte Zertifikate (DV-Zertifikate) ohne Identitätsprüfung, besonders anfällig: Fast 85 Prozent der Phishing-Angriffe werden über Webseiten durchgeführt, die entweder ausschließlich DV-Zertifikate oder gar keine Zertifikate enthalten.

Die Attraktivität von Zertifikaten mit Identitätsprüfung verringert sich

Maßnahmen für mehr Sicherheit in der Internet-Kommunikation sollten deshalb dabei helfen, den Einsatz von Zertifikaten mit einem höheren Sicherheitsniveau zu fördern. Doch verkürzte Laufzeiten können genau zum Gegenteil führen. Eine reduzierte Gültigkeitsdauer für alle Zertifikatstypen verringert die Attraktivität von Website-Zertifikaten mit Identitätsprüfung. Denn diese Prüfung fällt jetzt in immer kürzeren Abständen an.

Der so entstandene Mehraufwand kostet den Webseitenbetreiber Zeit und Ressourcen. Automatisierte Prozesse bei der Laufzeitverlängerung können hier weiterhelfen. Sie können in der Regel jedoch nur von Unternehmen mit spezialisierten IT-Abteilungen oder Dienstleistern umgesetzt werden. Es besteht daher die Gefahr, dass Anwender aufgrund des höheren Aufwands eher zu domainvalidierten Zertifikaten mit einem niedrigen Sicherheitsniveau tendieren.

Europäische Zertifikatsinitiativen werden ignoriert

Die EU hat die Bedeutung einer sicheren Identität für die Online-Kommunikation früh erkannt und bereits 2014 das qualifizierte Webseitenzertifikat (QWAC) eingeführt. QWACs basieren auf einer gründlichen Identitätsprüfung durch einen qualifizierten Vertrauensdiensteanbieter (qVDA), der höchste Anforderungen an Sicherheit und Zuverlässigkeit erfüllen muss. Entsprechend vertrauenswürdig sind die im Zertifikat hinterlegten Informationen über die Identität des Webseitenbetreibers.

Die Informationen über Anbieter, die QWACs ausstellen dürfen, befinden sich in der EU Trusted List. Diese wird jedoch durch die Root Stores der Browserhersteller bisher nicht unterstützt. Das Ergebnis: Die QWACS werden in den Browsern weder verarbeitet noch angezeigt.

Fazit

Kürzere Laufzeiten führen nicht zu mehr Sicherheit bei der Online-Kommunikation. Wesentlich wirksamer ist die breitere Nutzung von identitätsgeprüften Zertifikaten. Diese gilt es gezielt zu fördern. Die Verarbeitung und Anzeige der QWACs durch die Browserhersteller auf europäischer Ebene wäre ein wichtiger Schritt in die richtige Richtung.

Über den Autor: Enrico Entschew ist Senior Technical Product Manager PKI bei D-TRUST, einem Unternehmen der Bundesdruckerei.

(ID:47079965)