Web

 

RSA: Verschlüsselungspezialisten basteln an strikterem SSL-Standard

17.02.2006
Neue Spezifikation soll in zwei Monaten vorliegen.

Microsoft und konkurrierende Browser-Anbieter entwickeln gemeinsam mit führenden SSL-Zertifikatsausstellern einen "High Assurance SSL-Standard". Das gaben die Projektbeteiligten auf der RSA-Sicherheitskonferenz in San José bekannt. Die Spezifikation, die bereits "innerhalb der kommenden zwei Monate" vorliegen soll, sei darauf ausgelegt, Phishing und andere Formen des Online-Betrugs zu reduzieren und dadurch das Vertrauen in legitime E-Commerce-Sites zu erhöhen, erläuterte Chris Bailey, Chief Technology Officer (CTO) von GeoTrust. Es sei zu erwarten, dass der neue Standard sowohl von den großen Zertifikatsausstellern wie GeoTrust und VeriSign als auch im Internet Explorer 7 (IE) sowie anderen namhaften Browsern, etwa Opera und Firefox, unterstützt wird. Laut Bailey beschreibt der Standard, welche Maßnahmen zu ergreifen sind, um die Identität von Unternehmen zu bewerten, bevor ihnen ein Web-Server-Zertifikat ausgestellt wird.

Die noch in der Entwicklung befindliche Spezifikation wird voraussichtlich drei Bereiche abdecken: die Verifizierung der Unternehmensidentität sowie der Berechtigung potenzieller Käufer, im Namen ihrer Firma Verträge abzuschließen, sowie die genaue Überprüfung, ob es sich tatsächlich um ein Geschäft handelt.

Derzeit werden Zertifikate für verschiedene Authentifizierungsniveaus angeboten - zu unterschiedlichen Preisen. So reicht das Spektrum der Anbieter von einer simplen automatisierten Prüfung, ob es sich bei der Person, der das Zertifikat ausgestellt wird, auch tatsächlich um den Inhaber der Domain handelt, bis hin zur eingehenden Identitätsbewertung, die mehrere Tag in Anspruch nimmt. Die neue Spezifikation soll sehr viel tiefer gehen und dadurch verhindern, dass sich Kriminelle Zertifikate erschleichen: Laut Bailey kann sie sogar fordern, dass der Kunde seine Applikation notariell beglaubigen lassen muss.

Was Unternehmen von den neuen Highend-Zertifikaten haben, mit denen sie genau das gleiche Verschlüsselungsniveau erhalten wie mit günstigeren Varianten? Die URLs ihrer HTTPS-Webseiten werden in der Browser-Adresszeile grün erscheinen, was das Vertrauen der Besucher erhöhen soll. Sowohl GeoTrusts als auch VeriSigns neue High-Assurance-Zertifikate werden kompatibel zu Microsofts InfoCard-Feature sein, die mit IE 7 eingeführt werden soll. (kf)