Tagesarchiv für den 19. Juli 2010

EV-SSL und PayPal

Montag, den 19. Juli 2010

Wir beobachten derzeit, dass die Aussteller von SSL-Zertifikaten derzeit stark die Extended Validation SSL-Zertifikate “pushen”. Wir Reseller werden mit massiven Prämien geködert, und die Endkunden werden mit (im ersten Jahr kostenlosen) EV-SSL-Upgrades angelockt. Der Grund liegt auf der Hand: nicht damit die SSL-Anbieter die Welt ein wenig sicherer machen, sondern weil sich diese an EV-SSL quasi dumm und dämlich verdienen.

Um das nochmal kurz zu wiederholen: EV-SSL (200-900 EUR/Jahr) bietet technisch exakt die selbe Sicherheit wie ein “günstiges” SSL-Zertifikat (15-120 EUR/Jahr - je nach Anbieter). Allerdings wird der Antragsteller für das Zertifikat “besonders” überprüft (was an sich auch nichts Neues ist), und gleichzeitig im Browser die Vertrauenswürdigkeit besonders hervorgehoben.

So, und für wie vertrauenswürdig soll man nun so ein EV-SSL-Zertifikat halten?

paypal-ev.gif

Dass ausgerechnet das für Phisher hochbegehrte PayPal solche dubiosen Firmierungen nutzt ist schon merkwürdig. Egal ob PayPal, eBay oder Online-Banking: der Kunde wird immer verpflichtet, zu prüfen dass er sich auf der “richtigen” Website befindet. Soll ich nun tatsächlich meine Benutzerdaten auf der Website einer singapurischen Limited eingeben?