Entrust Multi-Domain EV SSL-Certificates

Der Begriff "Extended Validation", also erweiterte Validierung, bezieht sich auf strenge, dem Branchenstandard entsprechende Validierungsmethoden, die von einer Zertifizierungsstelle vor der Ausstellung eines SSL-Zertifikats angewendet werden müssen. Die Leitlinien für Extended Validation werden vom CA/Browser Forum hier veröffentlicht.

Ein Extended Validation (EV)-SSL-Zertifikat, das von einem Branchenkonsortium namens CA/Browser Forum erstellt wurde. Diese neue Zertifikatkategorie wurde als Reaktion auf die wachsende Bedrohung durch Phishing-Angriffe entwickelt, um das Vertrauen der Verbraucher in Online-Transaktionen zu stärken. EV-Zertifikate werden nur nach strenger Prüfung der Identität von Websites ausgestellt. Webbrowser werden dieses höhere Maß an Identitätssicherheit durch auffällige und eindeutige Vertrauensindikatoren widerspiegeln, wie z. B. die grüne Adressleiste in Internet Explorer und Mozilla Firefox sowie erweiterte grüne Indikatoren in den neuesten Versionen von Opera und Google Chrome.

Das CA/Browser Forum ist eine Gruppe von Zertifizierungsdienstanbietern, Herstellern von Webbrowsern und anderen Branchenteilnehmern, die gemeinsam nach Wegen suchen, die Bedrohung durch Phishing zu bekämpfen. Entrust hatte früher den Vorsitz dieser Gruppe und unterstützt ihre Arbeit nachdrücklich. Weitere Informationen finden Sie auf der Website des CA/Browser Forum.

Die meisten der heute verwendeten Browser zeigen grüne Vertrauensindikatoren für EV an. Einige der wichtigsten Browser, die EV unterstützen, sind Internet Explorer (Version 7 und höher), Mozilla Firefox Version 3, Opera Version 8, Safari Version 3.2, Google Chrome und Flock Version 2.

Angesichts zahlreicher bösartiger Phishing-Vorfälle und Online-Betrügereien sind die Verbraucher besorgt über Identitätsdiebstahl und möchten die Gewissheit haben, dass sie der Website, auf der sie ihre persönlichen Daten eingeben, vertrauen können. Wenn Verbraucher das Gefühl haben, dass die Website nicht vertrauenswürdig ist, und ihre persönlichen Daten unverschlüsselt sind, werden sie die Website verlassen und ihre Transaktionen bei einem anderen Anbieter durchführen. Entrust Multi-Domain EV SSL-Zertifikate stärken das Vertrauen der Verbraucher durch auffällige und einheitliche Vertrauensindikatoren bei ihren Online-Transaktionen. Das Schloss befindet sich nun am oberen statt am unteren Rand des Browserfensters und wenn eine Website ein Entrust Multi-Domain EV SSL-Zertifikat installiert hat, erscheint die Adressleiste in grüner Farbe und zeigt die Identität der Website und den Namen der Zertifizierungsstelle an, damit der Verbraucher weiß, dass er mit Vertrauen einkaufen kann.

Ein breites Spektrum von Unternehmen hat nun ein Anrecht auf EV-Zertifikate:

1. Private Organisation: Eine nichtstaatliche juristische Person (unabhängig davon, ob die Beteili­gungen in Privatbesitz sind oder öffentlich gehandelt werden), deren Existenz durch eine Anmeldung bei (oder einen Akt) der Gründungsbehörde in ihrem Gründungsland geschaffen wurde.
2. Staatliche Einrichtung: Eine von der Regierung betriebene juristische Person, Behörde, Ab­teilung, ein Ministerium oder ein ähnliches Element der Regierung eines Landes oder einer politischen Untereinheit innerhalb eines solchen Landes (z. B. ein Staat, eine Provinz, eine Stadt, ein Landkreis usw.).
3. Unternehmen: Jede juristische Person, die weder eine private Organisation noch eine staatliche Einrichtung ist. Beispiele sind offene Handelsgesellschaften, Vereine ohne eigene Rechts­persönlichkeit und Einzelunternehmen.

Entrust Multi-Domain EV SSL-Zertifikate werden zunächst über die Entrust Certificate Services-Website und zu einem späteren Zeitpunkt über unser Enhanced-Oberfläche für Kunden, die größere Zertifikat-Pools verwalten, zum Kauf angeboten.

Ja. Bitte beachten Sie, dass Kunden, die diese Angebote in Anspruch nehmen, nach den neuen EV-Leitlinien validiert werden müssen, bevor Zertifikate ausgestellt werden können.

Entrust Multi-Domain EV SSL-Zertifikate haben eine maximale Laufzeit von 2 Jahren (24 Monate).

Der Hauptunterschied besteht darin, was passiert, bevor die Entrust EV SSL-Zertifikate überhaupt ausgestellt werden. Bevor ein Entrust SSL-Zertifikat ausgestellt wird, führt Entrust Überprüfungen durch, um die Identität des Antragstellers zu überprüfen oder zu bestätigen.

Unter dem neuen EV-Modell wird die Validierung einer Entität (z. B. einer Firma oder eines Website-Betreibers), die ein Entrust Multi-Domain EV SSL-Zertifikat beantragt, anhand von Richtlinien nach Branchenstandard durchgeführt, wie sie vom CA/Browser Forum definiert wurden. Dies unter­scheidet sich von der derzeitigen Praxis insofern, als verschiedene Zertifizierungsstellen sehr unterschiedliche Validierungsstandards haben. Obwohl die meisten Zertifizierungsstellen strenge Validierungspraktiken anwenden, tun dies nicht alle und dies untergräbt die allgemeine Sicherheit von SSL für Verbrauchertransaktionen.

Zertifikate, die mit "Extended Validation" ausgestellt wurden, enthalten einen Verweis auf eine EV-spezifische Zertifikatrichtlinie. Jede Zertifizierungsstelle besitzt eine eindeutige Richtlinie und eine sogenannten OID (Policy Object Identifier). Browser, die EV unterstützen, verhalten sich anders, wenn sie auf ein Zertifikat treffen, das unter einer EV-Richtlinien-OID ausgestellt wurde, die sie erkennen.

Beachten Sie, dass sich Entrust Multi-Domain EV SSL-Zertifikate auf technischer Ebene nicht von Standard-X.509-Zertifikaten unterscheiden und mit älteren Browsern abwärtskompatibel sein werden. Entrust Multi-Domain EV SSL-Zertifikate enthalten mehr Informationen über das Subjekt (die Entität, auf die das Zertifikat ausgestellt wurde), darunter die Rechtsordnung des Firmensitzes.

Aus kryptographischer Sicht ja. Ihre aktuellen Entrust SSL-Zertifikate werden weiterhin zu verschlüsselten SSL-Sitzungen führen.

Die größte Bedrohung für Online-Transaktionen ist jedoch nicht kryptographischer Art – es ist Phishing. Phishing nutzt die Unfähigkeit der Verbraucher aus, zwischen vertrauenswürdigen Seiten und gefälschten Seiten zu unterscheiden.

Die EV-Initiative soll es den Verbrauchern erleichtern, diese Unterscheidung zu treffen. Aus Sicht der Benutzerfreundlichkeit wird die Wirksamkeit von Nicht-EV-Zertifikaten abnehmen, da die Ver­braucher die neuen Browser annehmen und bei ihren Transaktionen die verlässlichen Vertrauens­indikatoren von Entrust Multi-Domain EV SSL-Zertifikaten erwarten.

Wenn Sie eine Website betreiben, die E-Commerce-Transaktionen durchführt, oder wenn Sie sensible oder geschützte Daten sammeln, sollten Sie eine Umstellung auf Entrust Multi-Domain EV SSL-Zertifikate in Betracht ziehen.

Phishing-Angriffe sind eine reale Bedrohung für das Vertrauen der Verbraucher in das Internet. Entrust Multi-Domain EV SSL-Zertifikate können nur ein Teil der Lösung sein, wenn sie auf breiter Ebene bereitgestellt und verwendet werden.

Browser ohne EV-Unterstützung werden sich weiterhin so verhalten wie heute. Solange das Zertifikat von einer vom Browser als vertrauenswürdig eingestuften CA ausgestellt wurde, schließt sich das Schloss wie erwartet.

In den meisten Fällen erfordert die Website-Unterstützung sowohl für ältere Browser als auch für neuere EV-Browser die Installation eines Cross-Zertifikats auf dem Webserver, das von einer bereits in älteren Browsern eingebetteten Root CA ausgestellt wurde. Das Cross-Zertifikat zertifiziert eine neuere EV-spezifische ausstellende CA als vertrauenswürdig und das eigentliche Webserver-Site-Zertifikat wird von dieser ausstellenden CA ausgestellt.

Die Antwort kann je nach Browsertyp variieren, aber im Allgemeinen kann eine rote Adressleiste darauf hinweisen, dass Sie eine bekannte Phishing-Site aufgerufen haben.

Die rote Warnung blockiert den sofortigen Zugriff auf gemeldete Phishing-Seiten, obwohl der Benutzer auf die Seite gehen kann, wenn er möchte.

Eine rote Adressleiste kann auch darauf hinweisen, dass es ein Problem mit dem Zertifikat gibt oder dass es nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

Internet Explorer enthält deutliche Warnungen für die Benutzer und empfiehlt, die Seite nicht zu besuchen.

Wenn der Benutzer die Warnungen ignoriert und fortfährt, wird die Adressleiste rot und es erscheinen rote "Sicherheitsplaketten" als Warnung.

Ja, wenn Sie eine in Entrust gerootete Zertifizierungsstelle besitzen, können Sie Entrust Multi-Domain EV SSL-Zertifikate ausstellen, sobald Ihre Zertifizierungsstelle von den EV-fähigen Browsern erkannt wird. Dies erfordert entweder eine Cross-Zertifizierung mit einer Zertifizierungsstelle, die bereits in den EV-Root-Einbettungsprogrammen der wichtigsten Browser enthalten ist, oder dass Sie Ihr eigenes Root in diese Programme integrieren. In beiden Fällen müssen Sie sich einem Audit nach den Leitlinien des CA/Browser Forums unterziehen.

Für Website-Betreiber gibt es einige Änderungen zu beachten, u. a. werden mehr Details über den Abonnenten in das Zertifikat aufgenommen:

• Name der Domain
• Name der Organisation
• Gerichtsstand der Eintragung
• Stadt oder Ort
• Bundesland oder Provinz (falls vorhanden)
• Land – obligatorisch

Einige Tools zur CSR-Generierung erlauben es Ihnen möglicherweise nicht, diese Informationen zu Ihren Zertifikaten hinzuzufügen. Entrust wird jedoch in der Lage sein, diese Informationen zu Ihren Entrust Multi-Domain EV SSL-Zertifikaten hinzuzufügen, sobald Ihre Zertifikatbestellung aufgegeben wurde.

Bitte beachten Sie, dass die EV-Standards die Verwendung von Wildcard-Zertifikaten nicht zulassen, was sich auf die Anzahl der Zertifikate auswirken kann, die Sie möglicherweise erwerben müssen.

Es wäre zwar möglich, in Browsern, die auf aktuellen SSL-Zertifikaten basieren, deutlicher sichtbare Sicherheitsfunktionen zu aktivieren, aber das Problem liegt in der inkonsistenten Validierungsstufe hinter den aktuellen Zertifikaten.

Einige Zertifizierungsstellen führen heute viel weniger strenge Validierungsprüfungen bei Unter­nehmen durch, die SSL-Zertifikate beantragen, was das Risiko mit sich bringt, dass eine Phishing-Site ein gültiges SSL-Zertifikat erwerben könnte.

Angesichts dieses Risikos hat sich das CA/Browser Forum zum Ziel gesetzt, eine einheitliche, gemeinsame Reihe von Validierungsrichtlinien zu erstellen, die von den teilnehmenden Zertifizierungs­stellen befolgt werden können und auf die sich die Browseranbieter verlassen können, bevor sie auffälligere Sicherheitsmerkmale wie die grüne Adressleiste aktivieren.

Nein, die EV-SSL-Leitlinien erlauben keine Wildcard-Zertifikate. In einigen Fällen kann die Verwendung von subjectAltName-Erweiterungen die gleichen Vorteile bieten wie ein Wildcard-Zertifikat und dies ist im Rahmen der EV-Leitlinien zulässig.

Entrust MUSS ein Entrust Multi-Domain EV SSL-Zertifikat, das es ausgestellt hat, bei Auftreten eines der folgenden Ereignisse widerrufen:

• Der Abonnent beantragt den Widerruf seines Entrust Multi-Domain EV SSL-Zertifikats.
• Der Abonnent gibt an, dass die ursprüngliche Anforderung eines Entrust Multi-Domain EV SSL-Zertifikats nicht autorisiert war, und erteilt keine rückwirkende Autorisierung.
• Entrust erhält angemessene Beweise dafür, dass der private Schlüssel des Abonnenten (der dem öffentlichen Schlüssel im Entrust Multi-Domain EV SSL-Zertifikat entspricht) kompromittiert wurde oder dass das Entrust Multi-Domain EV SSL-Zertifikat anderweitig missbraucht wurde.
• Entrust erhält eine Mitteilung oder erlangt anderweitig davon Kenntnis, dass ein Abonnent eine seiner wesentlichen Pflichten aus der Abonnentenvereinbarung verletzt.
• Entrust erhält eine Benachrichtigung oder erlangt anderweitig davon Kenntnis, dass ein Gericht oder ein Schiedsgericht einem Abonnenten das Recht entzogen hat, den im Entrust Multi-Domain EV SSL-Zertifikat aufgeführten Domainnamen zu verwenden, oder dass der Abonnent es versäumt hat, das Zertifikat zu verlängern.
• Entrust erhält eine Benachrichtigung oder erlangt anderweitig Kenntnis von einer wesentlichen Änderung der im Entrust Multi-Domain EV SSL-Zertifikat enthaltenen Informationen.
• Die Zertifizierungsstelle stellt nach eigenem Ermessen fest, dass das Entrust Multi-Domain EV SSL-Zertifikat nicht in Übereinstimmung mit den Bedingungen dieser Leitlinien oder den EV-Richtlinien der Zertifizierungsstelle ausgestellt wurde.
• Entrust stellt fest, dass Informationen, die im Entrust Multi-Domain EV SSL-Zertifikat enthalten sind, nicht korrekt sind.
• Entrust stellt den Betrieb aus irgendeinem Grund ein und hat nicht dafür gesorgt, dass eine andere EV CA den Widerrufssupport für das EV-Zertifikat übernimmt.
• Das Recht von Entrust, im Rahmen dieser Leitlinien Entrust Multi-Domain EV SSL-Zertifikate auszustellen, erlischt oder wird widerrufen oder gekündigt [es sei denn, die Zertifizierungsstelle trifft Vorkehrungen, um das CRL/OCSP-Repository weiterhin zu pflegen].
• Der private Schlüssel von Entrust für dieses Entrust Multi-Domain EV SSL-Zertifikat wurde kompromittiert.
• Entrust erhält eine Benachrichtigung oder erlangt anderweitig davon Kenntnis, dass ein Abonnent als "Denied Party" oder "Prohibited Person" auf einer schwarze Liste steht oder nach den Gesetzen der Rechtsordnung, in der die Zertifizierungsstelle tätig ist, von einem verbotenen Zielort aus operiert.

Berichterstattung

Wenn Sie Ihr Entrust Multi-Domain EV SSL-Zertifikat aus einem der oben genannten Gründe widerrufen möchten, können Sie Entrust kontaktieren, indem Sie unser Online-Beschwerdeformular ausfüllen.

Zusätzlich zum Widerruf von Entrust Multi-Domain EV SSL-Zertifikaten können Abonnenten, Zertifikatnutzer, Anbieter von Anwendungssoftware und andere Dritte Entrust kontaktieren, indem sie unser Online-Beschwerdeformular ausfüllen, um Beschwerden oder mutmaßliche Kompromittie­rungen des privaten Schlüssels, Missbrauch von EV-Zertifikaten oder andere Arten von Betrug, Kompromittierung, Missbrauch oder unangemessenem Verhalten im Zusammenhang mit EV-Zertifikaten zu melden.

Untersuchung

Entrust wird innerhalb von vierundzwanzig (24) Stunden mit der Untersuchung aller Berichte über Zertifikatprobleme beginnen und entscheiden, ob ein Widerruf oder eine andere angemessene Maßnahme auf der Grundlage von mindestens den folgenden Kriterien gerechtfertigt ist:

1. Die Art des mutmaßlichen Problems,
2. Anzahl der eingegangenen Zertifikatsproblemberichte über ein bestimmtes EV-Zertifikat oder eine bestimmte Website
3. Die Identität der Beschwerdeführenden (z. B. sollte eine Beschwerde eines Strafvollzugs­beamten, dass eine Website in illegale Aktivitäten verwickelt ist, mehr Gewicht haben als eine Beschwerde eines Verbrauchers, der angibt, er habe bestellte Waren nicht erhalten) und
4. Einschlägige geltende Gesetze.

Antwort

Entrust ist rund um die Uhr in der Lage, intern auf jeden Bericht über ein Zertifikatproblem von hoher Priorität zu reagieren und gegebenenfalls solche Beschwerden an die Strafverfolgungsbehörden weiterzuleiten und/oder ein Entrust Multi-Domain EV SSL-Zertifikat zu widerrufen, das Gegenstand einer solchen Beschwerde ist.