Es klingt nach einer guten Nachricht: Laut der Netcraft SSL Server Survey wurden 2015 in den Untersuchungen mehr als ein tausendmal so viele SSL-Zertifikate ermittelt als zum Start der Analysen in 1996. Doch die scheinbar deutliche Zunahme an digitalen Zertifikaten reicht nicht: "Es gibt heute über eine Milliarde Websites und nur rund drei Prozent davon sind bisher verschlüsselt. Eine Sicherheitslücke, von der Internetkriminelle bisher problemlos ihren Lebensunterhalt bestreiten konnten", so Roxane Divol, Senior Vice President und General Manager für Website-Sicherheit bei Symantec.
Großes Angebot an digitalen Zertifikaten
Im März 2016 hatte Symantec Encryption Everywhere in Zusammenarbeit mit einer Reihe von Webhosting-Partnern gestartet. InterNetX als einer der Partner stellt mit Basic SSL als Einstiegslösung kostenlose Zertifikate für die Verschlüsselung von Webseiten bereit, für Domains, die über InterNetX verwaltet werden. Bei Basic SSL handelt es sich um DNS-validierte SSL-Zertifikate. Bis 2018 wollen InterNetX und Symantec mit Encryption Everywhere eine flächendeckende Verschlüsselung unter vertrauenswürdigen Internetseiten erreichen.
Mit Let’s Encrypt gibt es zudem eine offene Zertifizierungsstelle (CA, Certificate Authority), die kostenlose digitale Zertifikate verteilt. Bis März 2016 wurden laut Let`s Encrypt bereits über eine Million Zertifikate ausgegeben. Das wird nicht von allen positiv gesehen: "Kostenlose Initiativen wie Let’s Encrypt machen deutlich, wie einfach es für Cyber-Kriminelle ist, an Zertifikate zu kommen. Mit diesen echten Zertifikaten können sie dann gefälschte Webseiten wie echt aussehen lassen", meint Kevin Bocek, Vice President, Security Strategy & Threat Intelligence, Venafi.
Nicht jedes Zertifikat ist sicher genug
Tatsächlich ist alleine das Vorhandensein eines digitalen Zertifikats kein Garant für Online-Sicherheit und auch keine Gewähr dafür, dass die bestätigte digitale Identität des Zertifikatsinhabers auch wirklich echt ist. Nicht ohne Grund führt das Bundesamt für Sicherheit in der Informationstechnik (BSI) "Gefälschte Zertifikate" schon seit Jahren als Gefährdung auf.
Die Studie des Ponemon-Institutes "Cost of Failed Trust Report" untersuchte, wie häufig digitale Zertifikate und kryptographische Schlüssel im Jahr 2015 in Deutschland gefälscht wurden. 42 Prozent der Befragten können demnach kompromittierte Schlüssel und Zertifikate nicht ausfindig machen oder wissen nicht, wie man dabei richtig vorgeht. Mehr als die Hälfte aller Befragten gab zu, dass ihr Unternehmen in den vergangenen beiden Jahren aufgrund mangelnder Vertrauenswürdigkeit von kryptographischen Schlüsseln und digitalen Zertifikaten Kunden verloren hat.
Validierung bei Zertifikatsvergabe ist nicht selbstverständlich
Ein wesentliches Problem bei der Vergabe digitaler Zertifikate ist die Güte des Validierungsverfahrens. Die Überprüfung des Antragstellers bedeutet Aufwand, den nicht jede Zertifizierungsstelle betreibt. So lassen sich Identitäten vortäuschen, die gefälschte Identität wird über ein digitales Zertifikat bescheinigt, eine perfekte Grundlage für Online-Attacken.
Eine weitere Sicherheitslücke kann die unzureichende Stärke der Verschlüsselung sein, Schwachstellen im Verschlüsselungsverfahren. Man denke nur an die "Heartbleed"-Schwachstelle, von der zahlreiche SSL-Zertifikate betroffen waren und leider immer noch sind. Ebenfalls problematisch ist die Datensicherheit bei der CA (Certificate Authority) selbst. So sind die Sicherheitsprobleme bei der Zertifizierungsstelle DigiNotar kein Einzelfall, Zertifizierungsstellen sind sehr lohnende Angriffsziele für Hacker.
"Man muss leider sagen, dass das aktuelle System der digitalen Zertifikate recht kompliziert, verwirrend und kontrovers ist. Digitale Zertifikate, ihre Signaturen und die Zertifikatsfirmen, die für sie bürgen, bilden die Grundlagen für Online-Vertrauen und Online-Authentifizierung. Ironischerweise weiß jeder in der IT-Branche, dass das aktuelle Zertifikats- und Signatursystem hoffnungslos kaputt und äußerst unzuverlässig ist", so Brian Donohue im Blog von Kaspersky Lab.
Das Problem ist nur, dass viele Anwenderunternehmen und IT-Nutzer dieses Wissen der IT-Branche nicht haben und deshalb auf die Risiken hingewiesen werden müssen.
Nutzer müssen digitale Zertifikate selbst validieren
Eine große Hilfe für die Nutzer sind die Webbrowser, die vor Zertifikatsproblemen warnen. Gewarnt wird zum Beispiel vor ungültigen, abgelaufenen Zertifikaten, vor unbekannten Zertifizierungsstellen und Aussteller-Zertifikaten, vor selbst erstellten Zertifikaten oder vor Fehlern in der Seriennummer der Zertifikate. Die Nutzer können die Warnungen allerdings umgehen oder sogar die Warnhinweise des Browsers ganz abschalten.
Praktisch sind Testwerkzeuge für digitale Zertifikate wie der SSL Server Test von Qualys. Dabei werden zahlreiche Kriterien bei den digitalen Zertifikaten automatisch abgeprüft, die Sicherheit der Verbindung und die Güte des Zertifikates werden bewertet. Dank Analyse-APIs sowie einem kostenlosen Open-Source-Tool können Unternehmen auch Massentests durchführen, also ein automatisiertes Testen von Websites und den Zertifikaten vornehmen.
Die sogenannten Extended Validation Zertifikate (EV-Zertifikate) zeigen Nutzern zudem, dass die jeweilige Zertifizierungsstelle strengere Kriterien bei der Vergabe von digitalen Zertifikaten beachtet, als dies bei normalen Zertifikaten angenommen werden kann. In einer Studie von Netcraft aus Januar 2015 lag die Zahl der EV-Zertifikate allerdings noch unter fünf Prozent bei den untersuchten Zertifikaten. Es gibt also noch einiges zu tun an der Sicherheit digitaler Zertifikate, damit diese auf breiter Basis zu einem zuverlässigen Sicherheitsfaktor werden.