Internet Explorer 7 Sicherheitsaspekte: EV Certs

Es gibt keine sichere Informationsverarbeitung?! Früher hätte ich ergänzt: Nur ausgeschaltete Computer, aus denen alle Kabel entfernt wurden, sind sicher. Heute muß ich leider ergänzen, daß selbst tote Rechner nicht vor dem Verhalten von DAUs sicher sind; deshalb sollte man, als sichere Schutzmaßnahme, immer auch die Festplatte vernichten.

Früher, zu Zeiten “dummer” Terminals, war alles viel einfacher. Man startete ein Programm auf einem (sicheren?) zentralen Rechner – und kümmert sich nicht weiter um den Rest. Und heute? Genau das gleiche: man startet seinen Browsers und öffnet dort seine SaaS-Anwendungen die irgendwo aus dem Internet gesaugt wird. Und manche DAUs glauben tatsächlich, das wäre sicher. Allen anderen empfehle ich, doch ein paar Sekunden länger darüber nachzudenken was in einem soclehn Umfeld eigentlich passiert, und wie man seine Identität, seine Daten und seine Transaktionen schützen könnte.

Die für den IE7 verantwortlichen Kollegen haben ein wenig nachgedacht, und stellen – zu Demonstrationszwecken – einige Ergebnisse ihrer Überlegungen vor: http://ie7demos.com.

Eines der dort demonstrierten Konzepte beschäftigt sich mit Extended Valdidation SSL Certificates (EV Certs, EV SSL), deren Verwendung zu sichereren Transaktionen bei E-Commerce und E-Banking führen – und das Phishing-Problem lösen soll. In der Beispielanwendung wird das notwendige Zertifikat im lokalen Speicher des Test-PCs installiert, und erlaubt dann die sichere Durchführung von Banktransaktionen mit einer fiktiven Bank – während ohne Zertifikat noch nicht einmal die Website der Bank dargestellt wird.

Das Microsoft Windows Internet Explorer 7 for Windows XP Fact Sheet beschreibt die Verwendung der EV Certs im IE7 folgendermaßen:

Extended Validation Certificates. Microsoft has worked with the industry to develop a new, stricter standard for issuing certificates, called Extended Validation Certificates. To help further reduce identity theft and increase user confidence in Web transactions, the Internet Explorer 7 Address Bar will display the usual SSL padlock with a green highlight when visiting a site with an Extended Validation Certificate.”

Kelvin Yu hat kürzlich die geplante Funktionalität, die ab Januar 2007 bereit stehen soll, in einem Beitrag zum IEBlog detaillierter beschrieben. Der Beitrag With IE7, green means go for legi sites bei CNet News.com erläutert Nutzen und Hintergründe ebenfalls recht gut:

“EV SSL stands for Extended Validation Secure Socket Layer. These are SSL certificates just like those that allow encrypted connections between browsers and sites. The difference, though, is that the identity of each certificate holder has been verified. Requestors will be subject to a strict vetting process which all issuers must follow.”

Die Sicherheitsbeauftragten grosser Untenehmen verstehen in der Regel sofort welchen Nutzen Ihnen die EV Certs bringen. Es stellt sich nur noch die Frage, wie man schnellstens dazu kommt. Natürlich werden sich die herausgebenden Certificate Authorities (CAs) zuerst auf große Konzerne konzentrieren, alle anderen werden warten müssen – insbesondere deshalb, weil sich die CAs untereinander noch nicht einigen konnten, wie sie mit inhabergeführten Kleinstunternehmen (sole proprietorships) umgehen wollen. Mit Verisign und Geotrust kündigten die zwei der größeren CAs die Verfügbarkeit von EV Certs ab Januar 2007 bereits an.

Während die Frage, woher man die sicheren Zertifikate beziehen kann, wohl demnächst beantwortet werden wird, ergibt sich für große Anwenderunternehmen noch die zusätzliche Herausforderung der sicheren Verteilung, über die gesamte Infrastruktur hinweg. Deshalb als Hilfestellung zum Anschluß ein kleine Handreichung: Wie die Microsoft IT-Organisation die interne PKI-Infrastruktur aufbaute wurde schon 2003 im technischen Weißbuch Deploying PKI Inside Microsoft beschrieben.

About Thomas Dreller

Live is too short for unhealthy food, sour wine, stressful relationships, or unprofitable business. Bio on http://www.linkedin.com/in/tdreller
This entry was posted in Background, Microsoft Products. Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s