Erwarteter Anstieg von HTTPS im Jahr 2018 realisiert

22 Januar 2019

Sowohl auf dem internationalen SSL-Markt als auch bei Xolphin haben sich viele Entwicklungen vollzogen. 2018 war ein Wendepunkt für die Verwendung von SSL: Erstmals gibt es mehr sicherere als unsichere Websites. Anfang letzten Jahres wurde ein starker Anstieg der HTTPS-Nutzung erwartet, was dazu führte, dass sichere Verbindungen der neue Standard sind. Ein Jahr später scheint dies eine realistische Einschätzung zu sein: Mittlerweile verwenden die Top-100-Websites weltweit HTTPS, zwischen 70% und 80% aller Seiten werden über HTTPS geladen und bis Juni 2018 waren weltweit 32,6 Millionen SSL-Zertifikate im Einsatz. Dies ist eine Steigerung von 68% im Vergleich zu 2017 und 500% im Vergleich zu 2016! Werfen wir einen Blick auf andere interessante Entwicklungen im Jahr 2018.

Auswirkungen des neuen Datenschutzgesetzes

Die Einführung der DSGVO im Mai hatte großen Einfluss auf die Nutzung von SSL in Europa. Das neue europäische Datenschutzgesetz ist seit dem 25. Mai 2018 in Kraft. Das neue Datenschutzgesetz machte SSL für alle europäischen Websites, die Daten erheben, zur Pflicht. Fast jede Website hat ein Eingabefeld wie ein Login-Feld oder ein Kontaktformular. Der Umgang mit Kundendaten ohne Verschlüsselung und ohne SSL-Zertifikat hat jetzt gravierende Folgen.

Änderungen in der Darstellung von HTTPS in Chrome

Google gab der Verwendung von SSL einen Schub, indem Warnungen für Websites ohne HTTPS besser sichtbar gemacht wurden. Ab Juli 2018 warnt Chrome vor unsicheren Verbindungen. Anfang 2017 zeigte Chrome eine "sichere" Benachrichtigung für Websites mit HTTPS. Google stellte im September 2018 die Anzeige dieser "sicheren" Benachrichtigung ein und ersetzte sie stattdessen durch eine Warnung für unsichere Websites. Jetzt wird für alle unsicheren Websites die Warnung "Nicht sicher" angezeigt. Diese Warnung wird mit der Zeit sichtbarer. Heutzutage zeigen die meisten Browser Warnungen für unsichere Websites und unsichere Eingabefelder an.

Chrome timeline HTTPS

SSL-Zertifikatseinsatz pro Typ

Meist werden kostengünstige DV-Zertifikate verwendet: 94% aller ausgestellten Zertifikate sind DV-Zertifikate. Zertifikate mit Unternehmensdaten werden häufig von (größeren) Websites mit mehr Besuchern verwendet. Die Verwendung von DV-, OV- und EV-Zertifikaten beträgt 38%, 49% bzw. 13%. Dieser Unterschied ist noch deutlicher für E-Commerce-Websites, deren Verwendung von Zertifikaten mit Unternehmensdaten 66% beträgt (von denen 50% OV-Zertifikate und 50% EV-Zertifikate verwenden). Außerdem wurde die Gültigkeitsdauer aller SSL-Zertifikate ab März 2018 auf 2 Jahre beschränkt, und TLS-Version 1.3 wurde im August 2018 veröffentlicht.

Die Nutzung von SSL für Phishing-Websites hat im letzten Jahr rapide zugenommen. DV-Zertifikate ohne Firmendaten haben den am wenigsten strengen Ausgabeverfahren und sind entweder kostenlos oder sehr kostengünstig. Daher werden sie oft für Phishing-Zwecke verwendet. Untersuchungen haben ergeben, dass mehr als die Hälfte aller Phishing-Websites HTTPS verwenden. Die HTTPS-Verbindung verleiht Phishing-Websites ein irreführendes, vertrauenswürdiges Aussehen. Der Ausgabeprozess und die Validierung von EV-Zertifikaten sind wesentlich strenger. Dieser strenge Validierungsprozess minimiert die Wahrscheinlichkeit eines Missbrauchs durch Phishing-Websites. Um die Bedeutung von Zertifikaten mit Firmendaten zu stärken, haben mehrere CAs im Juni 2018 das Londoner Protokoll festgelegt.

In den Niederlanden hat sich der Einsatz von EV-Zertifikaten in den letzten drei Jahren mehr als verdoppelt. Sectigo (vormals Comodo) hat mit fast 70% den größten Anteil daran. Während die Hauptbenutzer früher Finanz- und E-Commerce-Websites waren, sehen wir jetzt eine zunehmende Nutzung durch SME’s.

Übergang von Symantec zu DigiCert

Alle Symantec-, GeoTrust- und Thawte-Zertifikate, die vor dem 1. Dezember 2017 über die alte Symantec-Infrastruktur ausgestellt wurden, werden seit Ende 2018 nicht mehr als vertrauenswürdig eingestuft. Das genaue Datum ist je nach Browser unterschiedlich. Nach diesem Datum lösen alte Symantec-Zertifikat, beim Besuch der Website, einen Fehler aus. Derzeit kümmert sich die DigiCert Zertifizierungsstelle um die Ausstellung von Symantec-Zertifikaten. Haben Sie noch gültige Zertifikate, die vor dem 1. Dezember 2017 ausgestellt wurden? Diese können Sie kostenlos neu ausstellen lassen.

Comodo macht als Sectigo weiter

Ab dem 1. November 2018 heißt die Comodo CA Sectigo. Dies gilt für den Firmennamen und alle Marken- und Produktnamen. Um einen reibungslosen Übergang zu gewährleisten, wird 2019 der Name „Sectigo, ehemals Comodo CA“ verwendet. Trotz des neuen Namens wird sich nicht viel ändern. Alle Zertifikate funktionieren weiterhin. Es sind keine Anpassungen oder Neuinstallationen erforderlich, und alle Zertifikate werden von Browsern und Anwendungen weiterhin als vertrauenswürdig eingestuft. Neue, auf dem neuen Logo basierende Vertrauenslogos sind verfügbar, und ab dem 14. Januar wird ein neues Zwischenzertifikat verwendet.

Sectigo formerly Comodo

Entwicklungen bei Xolphin

Xolphin wächst schnell und arbeitet aktiv an der internationalen Expansion, insbesondere in Westeuropa und Skandinavien. Im Jahr 2018 haben wir in die weitere Professionalisierung investiert. Unsere ISO 27001-Zertifizierung und WebTrust-Zertifizierung wurde um eine ISO 9001-Zertifizierung erweitert. Diese neuen Zertifizierungen gewährleisten ein noch strengeres Qualitätsmanagement und Richtlinien für die Validierung von Zertifikaten. Aufgrund unseres schnellen Wachstums sind wir im März vergangenen Jahres in ein geräumigeres Büro in zentraler Lage in Alkmaar umgezogen. Dies gab uns auch die Möglichkeit, unser Team zu erweitern: Die Abteilungen Finanzen, Entwicklung und Validierung haben erheblich zugenommen. Heute kann das Validierungsteam in elf verschiedenen Sprachen validieren, was für eine optimale Betreuung unserer internationalen Kunden erforderlich ist. Das neue Büro bietet uns auch mehr Platz, um Studenten ein Praktikum anzubieten. Um ein hohes Serviceniveau außerhalb der Benelux-Region aufrechtzuerhalten, haben wir jetzt mehrere Angestellte im Ausland.

Was wird 2019 passieren?

Das CA Security Council, eine Partnerschaft zwischen vielen großen CAs, prognostiziert, dass bis Ende dieses Jahres mindestens 90% des gesamten Internetverkehrs TLS nutzen wird. Die veralteten Verschlüsselungsprotokolle TLS 1.0 und TLS 1.1 werden ab Anfang 2020 nicht mehr empfohlen. Bis dahin wird TLS 1.2 zum neuen Standard. Die Verwendung von TLS 1.3 wird aktiv angeregt. Der CA-Sicherheitsrat erwartet für 2019 einen Anstieg der Nutzung von TLS 1.3 um 30%.

Die Verwendung von ‘verschlüsseltem Phishing‘ mit kostenlosen Zertifikaten wird voraussichtlich weiter zunehmen. Dies macht Zertifikate mit Unternehmensdaten, die neben der Verschlüsselung auch eine Identitätsgarantie bieten, noch relevanter. Allerdings ist die Art und Weise, wie Browser SSL-Zertifikate anzeigen möchten, recht interessant, insbesondere angesichts der Verwirrung, die bereits durch die jüngsten Änderungen in Browsern verursacht wurde. Es wäre von Vorteil, wenn alle Browser in Abhängigkeit von der SSL-Zertifikatvalidierungsstufe ähnliche Meldungen anzeigen. Aufgrund der ständig zunehmenden Cyberkriminalität und aller Aufmerksamkeit für dieses wichtige Thema erwarten wir, dass die Nachfrage nach E-Mail-Zertifikaten und Schwachstellenscans im Jahr 2019 steigen wird.

Quellen:

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.

point up