Was bedeutet Extended Validation?
Extended Validation bedeutet "Erweiterte Überprüfung". In Bezug auf SSL-Zertifikate verbirgt sich hierunter neben einer ausgefeilten Technik vor allem eine detailliertere Überprüfung des Antragstellers durch die Zertifizierungsstellen (z.B. Verisign, GeoTrust). Ist die Überprüfung erfolgreich, wird der Name des Seiteninhabers im einem grünen Balken im Adressfeld des Browsers angezeigt.
Technik
Ziel der Extended Validiation SSL-Zertifikate ist es, Phishing mit verschlüsselten, und damit auf den ersten Blick sicheren, Webseiten zu erschweren bzw. zu verhindern. Denn nur die Originalseiten zeigen bei SSL-Zertifikaten mit Extended Validation (EV) eine grün hinterlegte Adressleiste mit dem Namen des Unternehmens an, welches die Webseite besitzt. Gefälschte Webseiten können diese Browseroption nicht kopieren.
EV-Zertifikate bieten damit den aktuell besten Schutz gegen Phishing-Attacken über gefälschten Webeiten oder Domains. Gefälschte Webseiten haben meist gefälschte Namen, die ähnlich klingen wie die offiziellen Seiten sowie das gleiche Aussehen wie die Originalseiten. Sie sind also nur sehr schwer als Fälschungen identifizierbar. Auf ihnen werden Kunden aufgefordert, Zugangsdaten oder persönliche Angaben wie Kreditkartendaten einzugeben. Durch den Missbrauch der persönlichen Daten entstehen beträchtliche Schäden in Form von Vermögensschäden (z. B. Überweisung von Geldbeträgen fremder Konten), Rufschädigung (z. B. Versteigerung gestohlener Waren unter fremdem Namen bei Online-Auktionen) oder Schäden durch Aufwendungen für Aufklärung und Wiedergutmachung. Über die Höhe der Schäden gibt es nur Schätzungen, die zwischen mehreren hundert Millionen Dollar und Milliarden-Beträgen variieren.
Die Vergabekriterien sind in den Guidelines for Extended Validation Certificates spezifiziert. Die Richtlinien werden vom CA/Browser Forum herausgegeben, einem freiwilligen Zusammenschluss von Zertifizierungsstellen und Browser-Herstellern. In der Konsequenz bedeutet dies, dass die Ausgabestellen (z.B. VeriSign oder GeoTrust) bereits im Rahmen der Bestellung händisch die Echtheit der angegebenen Daten überprüfen müssen, z.B. durch eine telefonische Verifizierung der Geschäftsdaten oder eine eine händische Prüfung des Handelsregisterauszuges. Nur Antragsteller, welche diese Revision erfolgreich abgeschlossen haben, können das EV-Zertifikat auf den eigenen Webseiten verwenden.
