Bei Extended Validation SSL / TLS Zertifikaten handelt es sich um Sicherheitszertifikate mit einem erweiterten und strengen Überprüfungsprozess bei der Validierung der Antragsteller. Die Identität des Antragsstellers muss bei der Beantragung eines Extended Validation Zertifikates von den Zertifizierungsstellen eingehend überprüft werden, bevor das Zertifikat ausgegeben werden darf.
Der wichtigste Grund für die grundsätzliche Einführung digitaler Zertifikate mit SSL / TLS war die Vertrauensbildung bei Online-Transaktionen und der Datenübertragung über das Internet. Dadurch, dass Webseitenbetreiber eine Überprüfung durch eine Zertifizierungsstelle (Certificate Authority, CA) benötigten, um ein Zertifikat zu erhalten, wurde sicherstellt, dass sich hinter einer Webseite tatsächlich das Unternehmen befand, für das es sich ausgab.
Vertrauensverlust in SSL-Zertifikate verursacht durch die Zertifizierungsstellen
Der zunehmende Wettbewerb der ausgebenden Stellen untereinander hat in der Vergangenheit jedoch dazu geführt, dass vermehrt nur noch der Name einer Domain mit einfacheren und damit preiswerteren Zertifikaten zertifiziert wurde. Der Nachteil dieser Zertifikate gegenüber den Extended Validation Zertifikaten ist, dass lediglich der Nachweis erbracht werden muss, dass derjenige der das Zertifikat nutzen will, der Inhaber der Domain ist. Die Identität des Domaininhabers selbst muss dazu nicht nachgewiesen werden.
Ein grundsätzliches Problem bei SSL Zertifikaten ist, dass die Benutzeroberflächen der meisten Browser oft nicht zwischen Zertifikaten mit niedriger Validierungsstufe und solchen, die einer strengeren Überprüfung unterzogen wurden, unterscheiden. Da eine erfolgreiche SSL / TLS-Verbindung generell dazu führt, dass in den meisten Browsern ein grünes Vorhängeschloss-Symbol angezeigt wird, können Nutzer nicht erkennen, ob der Eigentümer der Website validiert wurde oder nicht. Daher verwenden Betrüger, zum Beispiel Phishingwebsites TLS, um ihren Websites Glaubwürdigkeit zu verleihen. Benutzer moderner Browser können die Identität von Zertifikatsinhabern und die Details des ausgestellten Zertifikats jedoch prüfen. Die Informationen zum Zertifikatsinhaber, wie der Name der Organisation und der Standort werden bei Extended Validation Zertifikaten immer angegeben.
Höhere Sicherheit durch höhere Anforderung bei der Validierung
EV Zertifikate werden sowohl anhand der Baseline-Anforderungen als auch der Extended Validation-Anforderungen validiert. Die Extended Validation stellt zusätzliche Anforderungen an die Überprüfung von Unternehmen durch die Zertifizierungsstelle. Dazu gehören manuelle Überprüfungen aller vom Antragsteller angeforderten Domainnamen, Kontrollen durch unabhängige Informationsquellen und Telefonanrufe beim Antragsteller, um die Position des Antragstellers zu bestätigen. Wenn die Validierung in Ordnung ist, werden verschiedene auf den Antragsteller bezogen Daten wie die physische Adresse im Extended Validation Zertifikat gespeichert.
Durch die Einführung strengerer Ausgabekriterien und einer einheitlichen Anwendung dieser Kriterien durch alle beteiligten Zertifizierungsstellen sollen Extended Validation Zertifikate das Vertrauen der Internetnutzer wiederherstellen. Allerdings besteht erneut die Sorge, dass mangelndes Verantwortungsbewusstsein und Kostendruck bei den Zertifizierungsstellen, Umstände die bereits zum Verlust des Vertrauens in domainvalidierte Zertifikate geführt haben, in Zukunft den Wert von Extended Validation Zertifikaten ebenfalls untergraben werden.