{"id":4671,"date":"2017-11-02T12:31:04","date_gmt":"2017-11-02T11:31:04","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=4671"},"modified":"2025-12-23T09:53:14","modified_gmt":"2025-12-23T08:53:14","slug":"erneute-phishing-kampagne-durch-kostenlose-ssl-zertifikate","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/erneute-phishing-kampagne-durch-kostenlose-ssl-zertifikate\/","title":{"rendered":"Erneute Phishing-Kampagne durch kostenlose SSL-Zertifikate"},"content":{"rendered":"

Abermals ist es passiert und diesmal erwischt es Kunden der Fidor Bank: Es ging eine neue Phishing-Site online. Erfolgreich geht das nur durch schwach validierte und nicht detailliert \u00fcberpr\u00fcfte, kostenlose SSL-Zertifikate<\/a>. In diesem Fall ging es um ISRG, dem Betreiber von Let’s Encrypt<\/a>. Aufmerksame Kunden der Fidor Bank jedoch merkten den Unterschied.<\/p>\n

Deshalb sind kostenlose SSL-Zertifikate kostenlos<\/h2>\n

Zertifizierungsstellen sind daf\u00fcr zust\u00e4ndig, die Identit\u00e4t eines Zertifikate-Bestellers zu \u00fcberpr\u00fcfen. Es gibt verschiedene Validierungsstufen, die wir j\u00fcngst im Beitrag \u201eIdentit\u00e4tsdiebstahl mit Unicode<\/a>\u201c konkreter erkl\u00e4rten. Auch wir offerieren kostenfreie SSL-Zertifikate, die domainvalidiert sind, empfehlen diese jedoch ausschlie\u00dflich f\u00fcr private Sites, die auf die Eingabe pers\u00f6nlicher Daten g\u00e4nzlich verzichten.<\/p>\n

Werden ausschlie\u00dflich kostenlose SSL-Zertifikate ausgestellt, die domainvalidiert sind, fehlt es an der \u00dcbernahme von Verantwortung. Beispielsweise werden High Risk Certificate Requests mit Filterlisten sowie manuellen Freigaben gesondert \u00fcberpr\u00fcft. Das kann eine Zertifizierungsstelle, die ausschlie\u00dflich kostenfreie Zertifikate ausstellt, gar nicht leisten. Kostenlose SSL-Zertifikate werden also nicht weiter gepr\u00fcft, sie werden lediglich ausgestellt.<\/p>\n

Wie kam es \u00fcberhaupt zur Domainvalidierung?<\/h3>\n

Den Anfang dieser Entwicklung machte 2004 GeoTrust Europe: aus Kostengr\u00fcnden und Konkurrenzdruck entstand die nahezu nichtssagende Validierungsstufe \u201eDomainvalidierung\u201c. Die Zertifizierungsstellen versuchten, den nicht f\u00fcr kommerzielle Websites geschaffenen Zertifikaten durch Filterregeln und manuelle Freigaben etwas mehr Vertrauen mitzugeben. Dennoch sind die domainvalidierten SSL-Zertifikate eigentlich f\u00fcr die Machine-to-Machine-Kommunikation und ausschlie\u00dflich f\u00fcr kleine, private Websites geschaffen.<\/p>\n

Inzwischen konnten sich domainvalidierte Zertifikate in hoher St\u00fcckzahl verbreiten. Selbst kommerzielle Websites oder gar Banken machen Gebrauch davon! So ist erschreckender Weise die Login-Site von Number26 mit einem DV-Zertifikat gesch\u00fctzt \u2013 zum Leidwesen der Kunden. Denn ein N26-Kunde w\u00e4re im Falle einer Phishing-Kampagne aufgeschmissen.<\/p>\n

EV-Zertifikat als Schutz<\/h3>\n

Bei der Fidor Bank war es anders als bei N26: Die Phishingsite war zwar gut gemacht und im Browser strahlte dem Besucher ein irref\u00fchrendes vermeintliches \u201eSicher\u201c entgegen. Https ist jedoch nicht gleich https! Und so fiel einigen aufmerksamen Fidor Bank-Kunden die fehlende gr\u00fcne Adressleiste und die ebenfalls fehlende Firmierung im Browser auf. Diese \u00e4u\u00dferen Schutzmerkmale gibt es ausschlie\u00dflich bei der Extended Validation, kurz: EV.<\/p>\n

Ein N26-Kunde h\u00e4tte aufgrund des mindervalidierten SSL-Zertifikats bei einer gut gemachten Phishingsite keinen Unterschied bemerkt. Denn die Darstellung gibt keine Unterschiede her, schlie\u00dflich werden Kunden auch noch mit dem im Browser stehenden \u201eSicher\u201c beschwichtigt.<\/p>\n

Deshalb ist es so wichtig, dass Sie als Website-Besucher nicht nur blind auf https oder den \u201eSicher\u201c-Hinweis des Browsers vertrauen! Achten Sie auf die gr\u00fcne Adressleiste und die Angabe des Firmennamens am Beginn der Adressleiste. So k\u00f6nnen Sie die sicheren EV-Zertifikate erkennen.<\/p>\n