Chrome und Firefox ziehen EV-Zertifikaten endgültig den Stecker

Wir haben vor knapp einem Jahr darüber berichtet und jetzt wird die Sache noch klarer: EV-Zertifikate sind ihr Geld nicht mehr wert. Zumindest was die Nutzung auf Websites angeht. Dafür sorgen Änderungen in den neuesten Versionen der Webbrowser Chrome und Firefox.

Mit Chrome 77 (verfügbar ab 10.09.2019) und Firefox 70 (verfügbar ab 22.10.2019) wird die im EV-Zertifikat hinterlegte Firma nicht mehr in der Adresszeile angezeigt. Nach der Entfernung des sogenannten «grünen Balkens» geht’s mit dieser Änderung den EV-SSL-Zertifikaten endgültig an den Kragen.

In Chrome 76 ist der Firmenname bereits ausgegraut und verschwindet in Chrome 77 komplett.

In Firefox 69 ist der Firmenname noch grün markiert. In Firefox 70 verschwinden die Angabe komplett.

EV-Zertifikate mögen bei ihrer Lancierung eine gute Idee gewesen zu sein, mittlerweile sind sie es nicht mehr. Das haben unzählige Experimente bewiesen, die die von EV-Zertifikaten versprochenen Sicherheitsmerkmale ausgehebelt haben. Mit dem Verschwinden des Firmennamens aus der Adresszeile ist für Nutzerinnen und Nutzer nicht mehr auf den ersten Blick erkennbar, ob es sich um ein teures Extended-Validated-Zertifikat (EV) oder doch um ein Domain-Validated-Zertifikat (DV) handelt, wie es zum Beispiel die kostenlosen SSL-Zertifikate von Let’s Encrypt sind.

Wieso eigentlich SSL-Zertifikate?

Mit dem Wegfall der zusätzlichen Merkmale für EV-SSL-Zertifikate fragen Sie sich vielleicht, warum wir im Web überhaupt SSL-Zertifikate einsetzen. Die Sicherheitszertifikate bieten im Web-Gebrauch 3 grundsätzliche Mehrwerte:

• Vertraulichkeit: Sensible Daten wie Passwörter werden mithilfe eines SSL-Zertifikats verschlüsselt übertragen.
• Integrität: Auf dem Weg zwischen Absender und Empfänger kann der Inhalt nicht verändert werden. Das Einschleusen schädlicher Inhalte oder unerwünschter Werbung durch Dritte ist damit nicht möglich.
• Authentizität: Ein SSL-Zertifikat garantiert, dass Sie mit der Domain kommunizieren, die in der Adresszeile sichtbar ist.

Verschwinden EV-SSL-Zertifikate tatsächlich?

EV-Zertifikate können selbstverständlich weiterhin genutzt werden und wir gehen davon aus, dass Zertifikateanbieter, zumindest vorerst, weiterhin Extended-Validation-Zertifikate verkaufen werden. Die Nachprüfung, ob es sich um ein EV-SSL-Zertifikat handelt, ist nämlich weiterhin möglich. Wer es genau wissen möchte, kann sowohl in Chrome als auch Firefox mithilfe eines Klicks erfahren, ob es sich um ein EV-Zertifikat handelt und auf welchen Firmennamen das Zertifikat ausgestellt ist.

Ein Klick auf das Schlosssymbol verrät, auf welchen Firmennamen das SSL-Zertifikat ausgestellt ist.

Dem Grossteil der Web-Nutzerinnen und -Nutzer dürfte das Wegfallen der Firmeninformationen in der Adresszeile aber schlichtweg nicht auffallen. Und das ist der Hauptgrund, weshalb sich die Entwickler-Teams hinter Chrome und Firefox für diesen Schritt entschieden haben.

Unser Tipp: Seien Sie vorsichtig bei Anbietern, die Ihnen auch weiterhin EV-Zertifikate mit veralteten Argumenten wie dem «grünen Balken» oder des sichtbaren Firmennamens verkaufen wollen. Sind Sie nicht zwingend darauf angewiesen, dass Ihr SSL-Zertifikat zusätzliche Informationen wie den Firmennamen enthält, bieten kostenlose SSL-Zertifikate von Let’s Encrypt genau so viel Vertraulichkeit, Integrität und Authentizität, wie die teureren Alternativen.