Chrome 77 and FireFox 70 remove the Extended Validation certificate indicator from the url - Chrome und FireFox entfernen die Hinweise auf EV-Zertifikate in der Url

12.08.2019 23:28:50, Jürgen Auer, keine Kommentare

Websites sollten heutzutage verschlüsselt erreichbar sein. Und zwar ausschließlich und korrekt. Also ohne Zertifikatsfehler, ohne Mixed Content Warnungen und ohne sonstige Fehler, die dadurch entstehen, daß Browser manche Fehler gar nicht so genau anzeigen, aber die entsprechende Datei eben nicht laden.

Aber genügt für diese Zwecke ein "einfaches", domainvalidiertes Zertifikat (DV)? Etwa eines von Letsencrypt, das kostenlos erhältlich ist?

Oder sollte man besser ein OV (organisationsvalidiertes) oder ein EV (Extended Validation) - Zertifikat nutzen? Letztere sind deutlich teurer und erfordern eine Überprüfung des Domaininhabers auf anderen Wegen.

Meine Position war da schon seit Jahren: Ein domainvalidiertes Zertifikat genügt völlig. EV-Zertifikate sind deutlich teurer, ohne daß sie einen wirklichen Mehrwert bieten.

Die beiden großen Browser Chrome und FireFox sehen das ähnlich.

Beide Browser werden in Kürze EV-Zertifikate nicht mehr "besonders" anzeigen.

Aktuell erscheint bei Websites, die ein EV-Zertifikat nutzen, im FireFox zwischen dem Schloß und der Url ein zusätzlicher Text. Dieser bezieht sich meist auf die Rechtsform.

Bei PayPal steht dort bsp. "PayPal, Inc (US)".

Aber schon bei der Postbank steht etwas da, das zwar sachlich korrekt sein dürfte. Das aber ebenso irritierend sein könnte: "DB Privat- und Firmenkundenbank AG". Da die Postbank von der Deutschen Bank gekauft wurde, ist das nun eine Unter-AG der Deutschen Bank (DB).

Jedenfalls werden beide Browser diese "besondere Darstellung" entfernen.

Zu Chrome:

Upcoming Change to Chrome's Identity Indicators

https://groups.google.com/a/chromium.org/forum/m/#!msg/security-dev/h1bTcoTpfeI/jUTk1z7VAAAJ

> Starting in Version 77, Chrome will move this UI to Page Info, which is accessed by clicking the lock icon:

Bei Chrome wird die "gesonderte Darstellung" nicht mehr in der Adresszeile angezeigt. Sie wird nur noch dann sichtbar, wenn man sich das Zertifikat explizit ansieht.

> Through our own research as well as a survey of prior academic work, the Chrome Security UX team has determined that the EV UI does not protect users as intended (see Further Reading in the Chromium document). Users do not appear to make secure choices (such as not entering password or credit card information) when the UI is altered or removed, as would be necessary for EV UI to provide meaningful protection.

Die EV-Darstellung schützt Nutzer nicht so, wie das eigentlich mal gedacht war. Nutzer stoppen nicht die Passworteingabe, wenn die EV-Darstellung entfernt wird.

Bei Mozilla:

Intent to Ship: Move Extended Validation Information out of the URL bar

https://groups.google.com/forum/?fromgroups=&hl=en#!topic/firefox-dev/6wAg_PpnlY4

> In desktop Firefox 70, we intend to remove Extended Validation (EV) indicators from the identity block (the left hand side of the URL bar which is used to display security / privacy information). We will add additional EV information to the identity panel instead, effectively reducing the exposure of EV information to users while keeping it easily accessible.

Beide Texte verweisen darauf, daß Safari den EV-Sondernamen ebenfalls schon nicht mehr anzeigt.

Warum halte ich EV-Zertifikate für überflüssig?

Ein Zertifikat hat zwei unterschiedliche Aufgaben:

1. Es soll verschlüsseln. Dafür sind ein Schlüsselpaar (Kombination aus öffentlichem und privatem Schlüssel) und ein paar weitere Dinge notwendig. Die "Qualität" eines Zertifikats hängt auf dieser Ebene lediglich an der Schlüssellänge und dem genutzten Hash-Algorithmus (nicht mehr SHA1, sondern SHA256). Beide Bedingungen werden aber von allen Unternehmen erfüllt, die Zertifikate ausgeben. Mögliche weitere Probleme, die sich auf die Qualität der Verschlüsselung auswirken, hängen nicht mehr vom Zertifikat, sondern von der lokalen Konfiguration ab. Dasselbe Zertifikat kann Basis einer sehr sicheren und einer sehr unsicheren Konfiguration sein.

Konsequenz: Auch ein privat erstelltes, selbst signiertes oder abgelaufenes Zertifikat stellt dieselbe Verschlüsselungslogik bereit wie ein DV-, OV- oder EV-Zertifikat. Auf dieser Ebene gibt es keinen Unterschied zwischen verschiedenen, heutzutage erstellten Zertifikaten.

2. Es soll sicherstellen, daß man sich mit der Domain verbindet, die man tatsächlich besuchen möchte. Daß man also die Bank-Zugangsdaten nicht auf einer fremden Seite eingibt. Da wird gerne auf die zusätzliche Schutzfunktion der EV-Zertifikate verwiesen. Allerdings zeigt mein eigenes Beispiel: Selbst mir war das bis jetzt nie aufgefallen, daß bei der Postbank nicht mehr "Postbank", sondern eine AG der Deutschen Bank als Unternehmen ausgegeben wird. Niemand achtet auf EV-Labels, nicht mal IT-ler.

Gegen Phishing ist effektiv etwas anderes relevant: Keinen Links in Mails folgen. Die eigene Bankseite immer nur per Eintippen oder per eigenem Bookmark aufrufen. Und hinreichend mißtrauisch sein, wenn man per Mail zu irgendwelchen Aktionen und Passworteingaben aufgefordert wird. Sprich: Solche Mails kommentarlos entsorgen.

Facebook und Twitter verwenden übrigens ebenfalls schon keine EV-Zertifikate mehr. Wobei ich gar nicht weiß, ob die jemals welche hatten.

Wenn Sie also ein kleines Unternehmen sind und sich überlegen, aus "optischen Gründen" ein EV-Zertifikat zuzulegen: Dieser "optische Grund" wird in Kürze wegfallen.

Womöglich werden OV- und EV-Zertifikate in einigen Jahren aussterben.

Stattdessen haben DV-Zertifikate (Domain-validated certificates) mit kurzer Gültigkeitsdauer den Vorteil, daß man die gesamte Beantragung und Zertifikatserstellung über das ACME-Protokoll automatisieren kann. Damit das klappt, muß aber die Webserver-Konfiguration "hinreichend bug-frei" sein, sonst scheitert die Automatisierung. Bei manuell beantragten, gekauften Zertifikaten ist die Webserver-Konfiguration dagegen irrelevant. Mit der Folge, daß es dort manches an "unentdeckten Konfigurationsfehlern" geben kann, die auffallen, wenn jemand zum ersten Mal ein Letsencrypt - Zertifikat erstellt.

*
* (wird nicht angezeigt)
Die Erläuterungen zum Datenschutz habe ich gelesen und stimme diesen zu.