Das Geschäft mit dem «grünen Balken»: Warum EV-Zertifikate ihr Geld nicht (mehr) wert sind

← zurück zum Blog

Dass es seit geraumer Zeit kostenlose SSL-Zertifikate von Let’s Encrypt gibt, ist wahrlich kein Geheimnis. Im Gegenteil, die Let’s Encrypt-Initiative, die wir auch als Sponsor tatkräftig unterstützen, hat dafür gesorgt, dass die Daten-Verschlüsselung zwischen Browser und Webserver nicht mehr vom Portemonnaie abhängt. Anbieter von SSL-Zertifikaten versuchen deshalb vermehrt, kostenpflichtige, sogenannte Extended-Validation-Zertifikate (EV) «an den Mann» zu bringen. Wir erklären, warum es zum jetzigen Zeitpunkt nur noch wenig Sinn macht, auf diese teuren EV-Zertifikate zu setzen.

Die Tage von Extended-Validation-Zertifikaten sind gezählt

Das bringen SSL-Zertifikate

SSL-Zertifikate, also die Sicherheits-Zertifikate, die beim Aufruf von Websites für eine verschlüsselte Verbindung (HTTPS) sorgen, werden in drei Klassen eingeteilt:

  • Domain-Validated-Zertifikate (DV-Zertifikate) wie jene von Let’s Encrypt,
  • Organisation-Validated-Zertifikate (OV-Zertifikate) und
  • Extended-Validation-Zertifikate (EV-Zertifikate)

Allen drei Klassen sind die generellen Vorteile von SSL-Zertifikaten gemeinsam:

  • Sichere Kommunikation
    Die Kommunikation zwischen Website und Besucher ist vor fremden Blicken sicher und Inhalte können auf dem Weg zu Ihnen nicht manipuliert werden.
  • Schnellere Websites
    Neue, schnellere Technologien wie HTTP/2, QUIC oder Brotli werden von Browsern nur über eine verschlüsselte Verbindung unterstützt.
  • Bessere Platzierungen bei Google
    Google bevorzugt HTTPS und wertet eine verschlüsselte Verbindung als positiven Ranking-Faktor.

Der Unterschied zwischen den Zertifikatstypen besteht lediglich darin, dass bei OV- und EV-Zertifikaten einige zusätzliche Merkmale zum Zertifikatsbesitzer geprüft werden. Zum Beispiel, ob die Firma tatsächlich im Handelsregister eingetragen ist, oder ob der Zertifikatsbesitzer überhaupt berechtigt ist, im Namen der Firma zu handeln. Eigentlich sinnvoll, schliesslich möchte ich als Website-Besucher sicher sein, es mit dem gewünschten Unternehmen zu tun zu haben.

Die Sache hat jedoch einen Haken: Besucher achten nicht darauf, ob die aufgerufene Seite mit einem DV-, OV- oder EV-Zertifikat gesichert ist. Oder ist Ihnen aufgefallen, dass wir seit einiger Zeit kein EV-Zertifikat für www.cyon.ch mehr nutzen? Eben.

Der grösste Teil der Internetnutzer weiss mit der Bezeichnung Zertifikat nur wenig anzufangen, und für viele reicht es, wenn der Webbrowser ein Schloss anzeigt. Nur ganz wenige Nutzer interessieren sich am Ende wohl dafür, um welchen Zertifikatstyp es sich handelt, wie die (nicht ganz repräsentative) Umfrage von Troy Hunt, Web-Sicherheitsexperte und Betreiber von Have I been pwned? (HIBP), auf Twitter zeigt:

Auch die 10 meistbesuchten Websites der Welt nutzen keine EV-Zertifikate, wie ein weiterer Tweet von Troy Hunt eindrücklich zeigt:

Website-Besucher sind es schlicht nicht gewohnt, auf die visuellen Merkmale der teuren EV-Zertifikate zu achten. Das haben auch die Browser-Hersteller erkannt.

Der «grüne Balken» verschwindet

EV-Zertifikate werden in den Browsern nämlich bislang mit zusätzlichen visuellen Merkmalen dargestellt. Das bekannteste Merkmal ist dabei der sogenannte «grüne Balken». Der bei EV-Zertifikaten geprüfte Firmenname wird in einem grün hinterlegten Bereich angezeigt. Bis jetzt.

Mit der kürzlich erschienenen Version 69 von Chrome, dem verbreitetsten Browser der Welt, ist nun auch dieser grüne Balken für EV-Zertifikate verschwunden. Der Firmenname wird lediglich noch in grau angezeigt. Ein Schlag ins Gesicht für alle, die ein EV-Zertifikat aufgrund des versprochenen grünen Balken erworben haben.

Anzeige von EV-Zertifikaten in den aktuellen Versionen von Chrome, Safari und Firefox.

Anzeige von EV-Zertifikaten in den aktuellen Versionen von Chrome, Safari und Firefox.

Auch in Safari 12 ist der grüne Balken verschwunden. Und selbst der Firmenname wird erst nach einem zusätzlichen Klick angezeigt. Lediglich in Firefox werden EV-Zertifikate noch in einer Form dargestellt, die zumindest an den «grünen Balken» alter Tage erinnert. Apropos alte Tage: Die SSL-Zertifikate-Branche wirbt selbst heute noch gerne mit veralteten Screenshots.

Auch in iOS 12, der neusten Version des mobilen Betriebssystem von Apple, zeigen sich Änderungen. Dort ist zwar die grüne Farbe geblieben. Dafür ist ebenfalls der angezeigte Firmenname verschwunden. Es fällt schwer, da noch die Übersicht zu behalten.

Nicht zu vergessen: Safari hat im iPhone-Land Schweiz auf mobilen Geräten mit Abstand die Nase vorn.

Browser-Marktanteile Mobile Schweiz August 2017 -2018

Zusätzliche Prüfung: Nicht über alle Zweifel erhaben

Die zusätzliche Prüfung von Unternehmen ist eine durchaus sinnvolle Idee und die Erhöhung der Sicherheit für Besucher wünschenswert. Nur: Eine garantierte Sicherheit, dass jemand anderes mit meinem Firmennamen Unfug betreibt, bieten eben auch EV-Zertifikate nicht, wie eindrückliche Beispiele zeigen. Ian Carroll gelang es zum Beispiel, ohne grossen Aufwand eine Firma mit dem Namen «Stripe» zu gründen und damit für seine Domain ein EV-Zertifikat zu erhalten. Sein EV-Zertifikat unterscheidet sich auf den ersten Blick nicht von jenem, das der beliebte Anbieter für Online-Zahlungen mit gleichem Namen verwendet. Eine Phishing-Website mit gültigem EV-Zertifikat zu schalten, wäre für Carroll ein Leichtes gewesen.

Oder wie wäre es mit einer Firma die «Identity Verified» heisst? So wie es Tim Burton getan hat. Das Resultat:

Die Beispiele zeigen also, dass auch die angepriesene zusätzliche Überprüfung, die bei der Ausstellung von EV-Zertifikaten stattfindet, nicht über alle Zweifel erhaben ist.

Sparen Sie sich die Kosten

Die Anzeichen sind deutlich: EV-Zertifikate haben ihren Zenit überschritten. Es gibt mittlerweile einfach zu viele Argumente, die gegen den Einsatz eines teuren EV-Zertifikates sprechen. Wir meinen: Sparen Sie sich die Kosten und den Aufwand für EV-Zertifikate und setzen Sie auf automatisiert ausgestellte, kostenlose SSL-Zertifikate von Let’s Encrypt.

Sie möchten sich noch weiter in das Thema vertiefen? Dann empfehlen wir Ihnen die beiden englischsprachigen Artikel von Scott Helme und Troy Hunt als guten Einstiegspunkt:

2 Kommentare

  1. Warum steht bei Let’s Encrypt-Zertifikaten neu „Verifiziert von: cPanel, Inc.“ und nicht mehr „Verifiziert von: Let’s encrypt“ ?

    • Merci für die Frage, Lukas. Wir nehmen zurzeit Anpassungen am Ausstellungsprozess der Zertifikate vor. Währenddessen kann es vorkommen, dass neu ausgestellte bzw. verlängerte Zertifikate von der Zertifizierungsstelle «cPanel» stammen. Diese Zertifikate werden nach und nach wieder durch Zertifikate von Let’s Encrypt ersetzt. Solltest Du Fragen zu einem konkreten Fall haben, schicke uns gerne eine E-Mail mit den Details.

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht.
Auszufüllende Felder sind mit einem * gekennzeichnet.

*
*
*
Einfache HTML Anweisungen wie a, strong, blockquote etc. sind möglich.

Hinweis

Wir behalten uns vor, Spam-, beleidigende oder anderweitig unpassende Kommentare zu entfernen.

← zurück zum Blog