Sicherheitsrisiko Digitales Zertifikat
(Kein) Vertrauen in digitale Zertifikate
Es klingt nach einer guten Nachricht: Laut der Netcraft SSL Server Survey wurden 2015 in den Untersuchungen mehr als ein tausendmal so viele SSL-Zertifikate ermittelt als zum Start der Analysen in 1996. Doch die scheinbar deutliche Zunahme an digitalen Zertifikaten reicht nicht: "Es gibt heute über eine Milliarde Websites und nur rund drei Prozent davon sind bisher verschlüsselt. Eine Sicherheitslücke, von der Internetkriminelle bisher problemlos ihren Lebensunterhalt bestreiten konnten", so Roxane Divol, Senior Vice President und General Manager für Website-Sicherheit bei Symantec.
Großes Angebot an digitalen Zertifikaten
Im März 2016 hatte Symantec Encryption Everywhere in Zusammenarbeit mit einer Reihe von Webhosting-Partnern gestartet. InterNetX als einer der Partner stellt mit Basic SSL als Einstiegslösung kostenlose Zertifikate für die Verschlüsselung von Webseiten bereit, für Domains, die über InterNetX verwaltet werden. Bei Basic SSL handelt es sich um DNS-validierte SSL-Zertifikate. Bis 2018 wollen InterNetX und Symantec mit Encryption Everywhere eine flächendeckende Verschlüsselung unter vertrauenswürdigen Internetseiten erreichen.
Mit Let’s Encrypt gibt es zudem eine offene Zertifizierungsstelle (CA, Certificate Authority), die kostenlose digitale Zertifikate verteilt. Bis März 2016 wurden laut Let`s Encrypt bereits über eine Million Zertifikate ausgegeben. Das wird nicht von allen positiv gesehen: "Kostenlose Initiativen wie Let’s Encrypt machen deutlich, wie einfach es für Cyber-Kriminelle ist, an Zertifikate zu kommen. Mit diesen echten Zertifikaten können sie dann gefälschte Webseiten wie echt aussehen lassen", meint Kevin Bocek, Vice President, SecuritySecurity Strategy & Threat Intelligence, Venafi. Alles zu Security auf CIO.de
Nicht jedes Zertifikat ist sicher genug
Tatsächlich ist alleine das Vorhandensein eines digitalen Zertifikats kein Garant für Online-Sicherheit und auch keine Gewähr dafür, dass die bestätigte digitale Identität des Zertifikatsinhabers auch wirklich echt ist. Nicht ohne Grund führt das Bundesamt für Sicherheit in der Informationstechnik (BSI) "Gefälschte Zertifikate" schon seit Jahren als Gefährdung auf.
Die Studie des Ponemon-Institutes "Cost of Failed Trust Report" untersuchte, wie häufig digitale Zertifikate und kryptographische Schlüssel im Jahr 2015 in Deutschland gefälscht wurden. 42 Prozent der Befragten können demnach kompromittierte Schlüssel und Zertifikate nicht ausfindig machen oder wissen nicht, wie man dabei richtig vorgeht. Mehr als die Hälfte aller Befragten gab zu, dass ihr Unternehmen in den vergangenen beiden Jahren aufgrund mangelnder Vertrauenswürdigkeit von kryptographischen Schlüsseln und digitalen Zertifikaten Kunden verloren hat.
Validierung bei Zertifikatsvergabe ist nicht selbstverständlich
Ein wesentliches Problem bei der Vergabe digitaler Zertifikate ist die Güte des Validierungsverfahrens. Die Überprüfung des Antragstellers bedeutet Aufwand, den nicht jede Zertifizierungsstelle betreibt. So lassen sich Identitäten vortäuschen, die gefälschte Identität wird über ein digitales Zertifikat bescheinigt, eine perfekte Grundlage für Online-Attacken.