Extended-Validation-Zertifikat

Datei:EV-SSL "comdirect.de" with "Mozilla Firefox 68.6.0esr" 2020-04-02.png

Frühere Darstellung eines EV-SSL-Zertifikats in Firefox

Extended-Validation-SSL-Zertifikate (EV-SSL; deutsch etwa „Zertifikate mit erweiterter Überprüfung“) sind X.509 SSL-Zertifikate, deren Ausgabe an strengere Vergabekriterien gebunden ist. Dies bezieht sich vor allem auf eine detaillierte Überprüfung des Antragstellers durch die Zertifizierungsstelle. Die Vergabekriterien sind in den „Richtlinien für Extended-Validation-Zertifikate“<ref>Guidelines for Extended Validation Certificates 1.0</ref> spezifiziert. Die Richtlinien werden vom CA/Browser Forum herausgegeben, einem freiwilligen Zusammenschluss von Zertifizierungsstellen und Browser-Herstellern.

Genutzt werden die Zertifikate meist, um Webanwendungen per HTTPS zu sichern und den Anwendern vor dem Hintergrund von Phishing-Angriffen eine zusätzliche Sicherheit zu geben, etwa beim Online Banking.

Motivation

Das vorrangige Ziel der EV-SSL-Zertifikate ist es, Phishing mit verschlüsselten und damit auf den ersten Blick sicheren Websites zu erschweren. Durch die Einführung eines neuen, „erweiterten“ Zertifikats und der früher grün hinterlegten Adresszeile des Browsers sollte das Vertrauen der Benutzer in die sichere Verbindung zur gewünschten Website gestärkt werden.

Die Ausgabe von SSL-Zertifikaten ist zwar grundsätzlich an eine Überprüfung des Antragstellers gebunden, der Preisdruck unter den Anbietern hat aber zu einer teilweise laxen Vergabepraxis und zu vereinfachten Zertifikaten geführt, die nicht mehr als den Domain-Namen zertifizieren. Damit können auch Betrüger SSL-Zertifikate zur Steigerung ihrer Glaubwürdigkeit verwenden, ohne ihre Identität preisgeben zu müssen. Die Leistung der Anbieter, den Inhaber einer Domain zu prüfen und ihm ein SSL-Zertifikat auszustellen, steht mit dem Let’s-Encrypt-Projekt inzwischen kostenfrei zur Verfügung.

Kritiker sehen in dem neuen Standard teils den Versuch der Zertifizierungsstellen, sich dem Preiskampf in der SSL-Zertifikat-Ausgabe durch die Einführung eines neuen Premium-Produktes zu entziehen, das dem Benutzer wenig zusätzliche Sicherheit bringt, und das auch mit anderen Mitteln zu erreichen wäre. Auch könnten kleinere Anbieter geschäftlich benachteiligt werden.<ref><templatestyles src="Webarchiv/styles.css" />{{#if:20080415165830

      | {{#ifeq: 20080415165830 | *
    | Vorlage:Webarchiv/Wartung/Stern{{#if: „Software to Spot ‚Phishers‘ Irks Small Concerns“ | {{#invoke:WLink|getEscapedTitle|„Software to Spot ‚Phishers‘ Irks Small Concerns“}} | {{#invoke:Webarchiv|getdomain|http://online.wsj.com/public/article/SB116649577602354120-5U4Afb0JPeyiOy1H_j3fVTUmfG8_20071218.html?mod=rss_free}} }} (Archivversionen)
    | {{#iferror: {{#time: j. F Y|20080415165830}}
         | {{#if:  || }}Vorlage:Webarchiv/Wartung/DatumDer Wert des Parameters {{#if: wayback | wayback | Datum }} muss ein gültiger Zeitstempel der Form YYYYMMDDHHMMSS sein!
         | {{#if: „Software to Spot ‚Phishers‘ Irks Small Concerns“ | {{#invoke:WLink|getEscapedTitle|„Software to Spot ‚Phishers‘ Irks Small Concerns“}} | {{#invoke:Webarchiv|getdomain|http://online.wsj.com/public/article/SB116649577602354120-5U4Afb0JPeyiOy1H_j3fVTUmfG8_20071218.html?mod=rss_free}} }} {{#ifeq:  | [] | [ | ( }}Memento{{#if: {{#if: 2023-04-26 19:12:28 InternetArchiveBot | 2023-04-26 19:12:28 InternetArchiveBot |  }} |  des Vorlage:Referrer }} vom {{#time: j. F Y|20080415165830}} im Internet Archive{{#if:  | ;  }}{{#ifeq:  | [] | ] | ) }}
      }}
  }}
      | {{#if:
          | {{#iferror: {{#time: j. F Y|{{{webciteID}}}}}
    | {{#switch: {{#invoke:Str|len|{{{webciteID}}}}}
       | 16= {{#if: „Software to Spot ‚Phishers‘ Irks Small Concerns“ | {{#invoke:WLink|getEscapedTitle|„Software to Spot ‚Phishers‘ Irks Small Concerns“}} | {{#invoke:Webarchiv|getdomain|http://online.wsj.com/public/article/SB116649577602354120-5U4Afb0JPeyiOy1H_j3fVTUmfG8_20071218.html?mod=rss_free}} }} {{#ifeq:  | [] | [ | ( }}Memento{{#if: {{#if: 2023-04-26 19:12:28 InternetArchiveBot | 2023-04-26 19:12:28 InternetArchiveBot |  }} |  des Vorlage:Referrer }} vom {{#time: j. F Y| 19700101000000 + {{#expr: floor {{#expr: {{#invoke:Str|sub|{{{webciteID}}}|1|10}}/86400}} }} days}} auf WebCite{{#if:  | ;  }}{{#ifeq:  | [] | ] | ) }}
       | 9 = {{#if: „Software to Spot ‚Phishers‘ Irks Small Concerns“ | {{#invoke:WLink|getEscapedTitle|„Software to Spot ‚Phishers‘ Irks Small Concerns“}} | {{#invoke:Webarchiv|getdomain|http://online.wsj.com/public/article/SB116649577602354120-5U4Afb0JPeyiOy1H_j3fVTUmfG8_20071218.html?mod=rss_free}} }} {{#ifeq:  | [] | [ | ( }}Memento{{#if: {{#if: 2023-04-26 19:12:28 InternetArchiveBot | 2023-04-26 19:12:28 InternetArchiveBot |  }} |  des Vorlage:Referrer}} vom {{#time: j. F Y| 19700101000000 + {{#expr: floor {{#expr: {{#invoke:Str|sub|{{#invoke:Expr|base62|{{{webciteID}}}}}|1|10}}/86400}} }} days}} auf WebCite{{#if:  | ;  }}{{#ifeq:  | [] | ] | ) }}
       | #default= Der Wert des Parameters {{#if: webciteID | webciteID | ID }} muss entweder ein Zeitstempel der Form YYYYMMDDHHMMSS oder ein Schüsselwert mit 9 Zeichen oder eine 16-stellige Zahl sein!Vorlage:Webarchiv/Wartung/webcitation{{#if:  || }}
      }}
    | c|{{{webciteID}}}}} {{#if: „Software to Spot ‚Phishers‘ Irks Small Concerns“ | {{#invoke:WLink|getEscapedTitle|„Software to Spot ‚Phishers‘ Irks Small Concerns“}} | {{#invoke:Webarchiv|getdomain|http://online.wsj.com/public/article/SB116649577602354120-5U4Afb0JPeyiOy1H_j3fVTUmfG8_20071218.html?mod=rss_free}} }} (Memento{{#if: {{#if: 2023-04-26 19:12:28 InternetArchiveBot | 2023-04-26 19:12:28 InternetArchiveBot |  }} |  des Vorlage:Referrer}} vom {{#time: j. F Y|{{{webciteID}}}}} auf WebCite{{#if:  | ;  }}{{#ifeq:  | [] | ] | ) }}
  }}
          | {{#if: 
              | Vorlage:Webarchiv/Today
              | {{#if:
                      | Vorlage:Webarchiv/Generisch
                      | {{#if: „Software to Spot ‚Phishers‘ Irks Small Concerns“ | {{#invoke:WLink|getEscapedTitle|„Software to Spot ‚Phishers‘ Irks Small Concerns“}} | {{#invoke:Webarchiv|getdomain|http://online.wsj.com/public/article/SB116649577602354120-5U4Afb0JPeyiOy1H_j3fVTUmfG8_20071218.html?mod=rss_free}} }}  
                 }}}}}}}}{{#if:2023-04-26 19:12:28 InternetArchiveBot
    | Vorlage:Webarchiv/archiv-bot
  }}{{#invoke:TemplatePar|check
     |all      = url=
     |opt      = text= wayback= webciteID= archive-is= archive-today= archiv-url= archiv-datum= ()= archiv-bot= format= original=
     |cat      = Wikipedia:Vorlagenfehler/Vorlage:Webarchiv
     |errNS    = 0
     |template = Vorlage:Webarchiv
     |format   = *
     |preview  = 1
  }}{{#ifexpr: {{#if:20080415165830|1|0}}{{#if:|+1}}{{#if:|+1}}{{#if:|+1}}{{#if:|+1}} <> 1
    | {{#if:  || }}Vorlage:Webarchiv/Wartung/Parameter{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Genau einer der Parameter 'wayback', 'webciteID', 'archive-today', 'archive-is' oder 'archiv-url' muss angegeben werden.|1}}
  }}{{#if: 
    | {{#switch: {{#invoke:Webarchiv|getdomain|{{{archiv-url}}}}}
        | web.archive.org = 
          {{#if:  || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von Internet Archive erkannt, bitte Parameter 'wayback' benutzen.|1}} 
        | webcitation.org = 
          {{#if:  || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von WebCite erkannt, bitte Parameter 'webciteID' benutzen.|1}} 
        | archive.today |archive.is |archive.ph |archive.fo |archive.li |archive.md |archive.vn = 
          {{#if:  || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von archive.today erkannt, bitte Parameter 'archive-today' benutzen.|1}}
      }}{{#if: 
         | {{#iferror: {{#iferror:{{#invoke:Vorlage:FormatDate|Execute}}|Vorlage:FormatDate/Wartung/Error}}
             | {{#if:  || }}Vorlage:Webarchiv/Wartung/Parameter{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Wert des Parameter 'archiv-datum' ist ungültig oder hat ein ungültiges Format.|1}}
          |  }} 
         | {{#if:  || }}Vorlage:Webarchiv/Wartung/Parameter{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Pflichtparameter 'archiv-datum' wurde nicht angegeben.|1}}
      }}
    | {{#if: 
         | {{#if:  || }}Vorlage:Webarchiv/Wartung/Parameter{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Parameter 'archiv-datum' ist nur in Verbindung mit 'archiv-url' angebbar.|1}}
      }}
  }}{{#if:{{#invoke:URLutil|isHostPathResource|http://online.wsj.com/public/article/SB116649577602354120-5U4Afb0JPeyiOy1H_j3fVTUmfG8_20071218.html?mod=rss_free}}
    || {{#if:  || }} URL/Pfad ungültig.
  }}{{#if: „Software to Spot ‚Phishers‘ Irks Small Concerns“
    | {{#if: {{#invoke:WLink|isBracketedLink|„Software to Spot ‚Phishers‘ Irks Small Concerns“}}
        | {{#if:  || }} Linktext ungültig.
      }}
    | {{#if:  || }}Vorlage:Webarchiv/Wartung/Linktext_fehlt Linktext fehlt.
  }}{{#switch: 
    |addlarchives|addlpages= {{#if:  || }}{{#if: 1 |Vorlage:Webarchiv/Wartung/Parameter}}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: enWP-Wert im Parameter 'format'.|1}}
  }}{{#ifeq: {{#invoke:Str|find|http://online.wsj.com/public/article/SB116649577602354120-5U4Afb0JPeyiOy1H_j3fVTUmfG8_20071218.html?mod=rss_free%7Carchiv}} |-1
    || {{#ifeq: {{#invoke:Str|find|{{#invoke:Str|cropleft|http://online.wsj.com/public/article/SB116649577602354120-5U4Afb0JPeyiOy1H_j3fVTUmfG8_20071218.html?mod=rss_free%7C4}}%7Chttp}} |-1
         || {{#switch: {{#invoke:Webarchiv|getdomain|http://online.wsj.com/public/article/SB116649577602354120-5U4Afb0JPeyiOy1H_j3fVTUmfG8_20071218.html?mod=rss_free }}
              | abendblatt.de | daserste.ndr.de | inarchive.com | webcitation.org = 
              | #default = {{#if:  || }}{{#if: 1 |Vorlage:Webarchiv/Wartung/URL}}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Archiv-URL im Parameter 'url' anstatt URL der Originalquelle. Entferne den vor der Original-URL stehenden Mementobestandteil und setze den Archivierungszeitstempel in den Parameter 'wayback', 'webciteID', 'archive.today' oder 'archive-is' ein, sofern nicht bereits befüllt.|1}}
            }} 
       }}
  }}, Wall Street Journal, 19. Dezember 2006</ref> In der Version 1.1<ref>{{#switch: 
   |0|=Vorlage:Toter Link/Core{{#if: http://www.cabforum.org/wp-content/uploads/EV_Certificate_Guidelines_V11.pdf
       | {{#if: Version 1.1 der Guidelines for Extended Validation Certificates | Version 1.1 der Guidelines for Extended Validation Certificates }} (Seite {{#switch:|no|0|=|dauerhaft }}nicht mehr abrufbar{{#if: 2018-04 | , festgestellt im {{#invoke:DateTime|format|2018-04|F Y}} }}. Suche im Internet Archive (T)){{#if: 2018-04-09 06:45:16 InternetArchiveBot
           | {{#if:  | | Vorlage:Toter Link/archivebot }}
         }}
       |   (Seite {{#switch:|no|0|=|#default=dauerhaft }}nicht mehr abrufbar{{#if: 2018-04 | , festgestellt im {{#invoke:DateTime|format|2018-04|F Y}} }}.)
     }}{{#switch: 
         |no|0|=
         |#default={{#if:  ||  }}
    }}{{#invoke:TemplatePar|check
         |opt      = inline= url= text= datum= date= archivebot= bot= botlauf= fix-attempted= checked=
         |cat      = Wikipedia:Vorlagenfehler/Vorlage:Toter Link
         |errNS    = 0
         |template = Vorlage:Toter Link
         |format   =  @@@
         |preview  = 1
    }}{{#if: http://www.cabforum.org/wp-content/uploads/EV_Certificate_Guidelines_V11.pdf
      | {{#if:{{#invoke:URLutil|isWebURL|http://www.cabforum.org/wp-content/uploads/EV_Certificate_Guidelines_V11.pdf}}
          ||  Fehler bei Vorlage:Toter Link: Wert in 'url' ist ungültig.{{#if:  ||  }} 
        }}
      | {{#if: Version 1.1 der Guidelines for Extended Validation Certificates
           |  Fehler bei Vorlage:Toter Link: 'text' angegeben, aber 'url'' fehlt.{{#if:  ||  }}
           | {{#if:  ||  }}
        }}
    }}{{#if: 2018-04
       | {{#if:{{#invoke:DateTime|format|2018-04|F Y|noerror=1}}
             ||  Fehler bei Vorlage:Toter Link: Wert in 'date' ist ungültig.{{#if:  ||  }} 
         }}
    }}{{#switch: 
         |checked|deadurl|= 
         |#default=   Fehler bei Vorlage:Toter Link: Wert in 'botlauf' ist ungültig.{{#if:  ||  }}
    }}|#default= https://wiki-de.moshellshocker.dns64.de/index.php?title=Wikipedia:Defekte_Weblinks&dwl=http://www.cabforum.org/wp-content/uploads/EV_Certificate_Guidelines_V11.pdf Die nachstehende Seite ist {{#switch:|no|0|=|dauerhaft }}nicht mehr abrufbar]{{#if: 2018-04 | , festgestellt im {{#invoke:DateTime|format|2018-04|F Y}} }}. (Suche im Internet Archive. (T).)  {{#if: 2018-04-09 06:45:16 InternetArchiveBot
            | {{#if:  | | Vorlage:Toter Link/archivebot }}
         }}Vorlage:Toter Link/Core{{#switch: 
          |no|0|=
          |#default= {{#if:  ||  }}
        }}{{#invoke:TemplatePar|check
         |all      = inline= url=
         |opt      = datum= date= archivebot= bot= botlauf= fix-attempted= checked=
         |cat      = Wikipedia:Vorlagenfehler/Vorlage:Toter Link
         |errNS    = 0
         |template = Vorlage:Toter Link
         |format   =  @@@
         |preview  = 1
       }}{{#if: http://www.cabforum.org/wp-content/uploads/EV_Certificate_Guidelines_V11.pdf
       | {{#if:{{#invoke:URLutil|isWebURL|http://www.cabforum.org/wp-content/uploads/EV_Certificate_Guidelines_V11.pdf}}
          ||  Fehler bei Vorlage:Toter Link: Wert in 'url' ist ungültig.{{#if:  ||  }} 
        }}
    }}{{#if: 2018-04
         | {{#if:{{#invoke:DateTime|format|2018-04|F Y|noerror=1}}
             ||  Fehler bei Vorlage:Toter Link: Wert in 'date' ist ungültig.{{#if:  ||  }} 
           }}
    }}{{#switch: 
         |checked|deadurl|= 
         |#default=   Fehler bei Vorlage:Toter Link: Wert in 'botlauf' ist ungültig.{{#if:  ||  }}
    }}[http://www.cabforum.org/wp-content/uploads/EV_Certificate_Guidelines_V11.pdf }}</ref> wurde teils versucht, diese Einwände zu berücksichtigen.

Geschichte

EV-Zertifikate wurden im Jahr 2007 durch das CA/Browser Forum eingeführt.<ref>https://cabforum.org/wp-content/uploads/EV_Certificate_Guidelines.pdf</ref> Daraufhin bauten alle großen Browser-Hersteller eine visuelle Unterscheidung zwischen regulären und EV-Zertifikaten in die Adresszeile ein.

Im August 2019 wurde für die Browser Google Chrome 77 und Firefox 70 ein Redesign angekündigt, bei dem die besondere Darstellung der EV-Zertifikate durch die grün hinterlegte Adresszeile im Browser entfällt.<ref>https://www.ghacks.net/2019/08/13/mozilla-revamps-firefoxs-https-address-bar-information/</ref><ref>Google, Mozilla: We're changing what you see in Chrome, Firefox address bars. In: ZDNet.</ref> Die Chrome-Entwickler begründen diesen Schritt mit einer zu geringen Wirksamkeit der visuellen Indikatoren in der Adresszeile.<ref>https://chromium.googlesource.com/chromium/src/+/HEAD/docs/security/ev-to-page-info.md</ref> Informationen zur erweiterten Validierung erhält der Benutzer in diesen Browsern aktuell nur über die jeweilige Detailanzeige zu Zertifikaten bei geschützten Websites. Inzwischen zeigt keiner der verbreiteten Browser den besonderen Status des Zertifikats mehr an, wodurch für Seitenbetreiber, die mit der Sicherheit ihrer Webpräsenz zuvor innerhalb des Browsers werben konnten, die Werbewirksamkeit und die besondere Attraktivität des EV-SSL-Zertifikats gegenüber einem herkömmlichen SSL-Zertifikat entfällt.

Vergabekriterien

Um EV-SSL-Zertifikate ausstellen zu dürfen, müssen sich die Zertifizierungsstellen selbst einer Überprüfung unterziehen. Die Vergabe der Zertifikate ist unter anderem an folgende Kriterien gebunden:

Feststellung der Identität und der Geschäftsadresse des Antragstellers
Sicherstellung, dass der Antragsteller ausschließlicher Eigentümer der Domain ist oder eine exklusive Nutzungsberechtigung hat
Sicherstellung, dass die antragstellenden Personen befugt sind und dass rechtlich bindende Dokumente von zeichnungsberechtigten Personen unterschrieben werden

Ein EV-Zertifikat kann ausgestellt werden für:

Behörden
Kapitalgesellschaften
Personengesellschaften
Eingetragene Vereine
Eingetragene Einzelunternehmer

Weblinks

EV SSL Certificate Guidelines Version 1.7.0 PDF-Datei – aktuelle Version der Richtlinien (Stand: 29. Oktober 2019)

Einzelnachweise