SSL-Zertifikate werden generalüberholt

Entwickler der Browser Internet Explorer, Firefox, Konqueror (KDE) und Opera haben sich auf weitere Maßnahmen im Kampf gegen Phishing verständigt. Diese betreffen das Symbol des Vorhängeschlosses, das auf mit SSL (Secure Socker Layer) gesicherte Verbindungen hinweist.

Microsoft hatte bereits angekündigt, das Schlosssymbol  in der nächsten Version des Internet Explorers vom unteren Browserrand in die Adresszeile zu verlegen. Um eine Weiterleitung auf Sites mit bösartigem Code zu erschweren, soll die Adresszeile künftig bei allen Webseiten angezeigt werden – auch bei Pop-ups.

Wie der Internetdienstleister Netcraft jetzt berichtete, werden künftig auch die Namen der Unternehmen angezeigt, die SSL-Zertifikate ausgeben. Diese so genannten ‘Certificate Authorities’ sind bislang weithin unbekannt – und können sich über die neue Werbung freuen. Am geläufigsten dürfte noch der Name des US-Unternehmens VeriSign sein – allerdings nicht als Aussteller von SSL-Zertifikaten, sondern als Verwalter der .com-Domain.

Die Certificate Authorities arbeiten zudem an einem Standard, der das notwendige Maß an Recherche zur Seriosität eines Seitenbetreibers beschreiben soll. Bislang wendet jeder Emittent von SSL-Zertifikaten eigene Methoden an. Einige Authorities prüfen lediglich, ob der Betreiber die Domain wirklich besitzt. Andere ziehen für die Überprüfung noch Details zu Rate, die von Wirtschaftsauskunftsdiensten geliefert werden. Microsoft-Entwickler Rob Franco zeigte sich optimistisch, dass die Unternehmen sich auf ein gemeinsames Vorgehen einigen können.

Hintergrund dieser Bemühungen sind Phishing-Angriffe, bei denen vermehrt SSL-Zertifikate zum Einsatz kommen. Dieses ‘Secured Phishing’ sei kein Einzelfall mehr, hieß es von Netcraft. Im Jahr 2005 habe man etwa 450 Attacken gezählt, bei denen SSL-Zertifikate verwendet wurden.