Russische Internetseiten verlieren möglicherweise von einem Tag auf den anderen die Sichtbarkeit in ausländischen Browsern. Die Folgen könnten nicht nur Zehntausende von Webseiten betreffen, sondern auch verschiedene Anwendungen, deren Funktion von ausländischen Sicherheitszertifikaten abhängt.
Das japanische Unternehmen GlobalSign – eine der größten Zertifizierungsstellen weltweit – hat am Morgen des 13. Juni damit begonnen, zuvor ausgestellte SSL-Zertifikate von Unternehmen aus Russland zwangsweise zu widerrufen. Darüber berichtet das Wirtschaftsportal RBK unter Berufung auf ein Schreiben des Generaldirektors des russischen Unternehmens "GMO GlobalSign Russia", Dmitri Ryschikow, an die Partner des Unternehmens im Land. Wie RBK weiter berichtet, heißt es in Ryschikows Schreiben, dass die globale Regulierungsbehörde, das Internationale Konsortium "CA/Browser Forum", dem alle großen Zertifizierungsstellen der Welt sowie Browser-Entwickler angehören, aktualisierte Anforderungen für die Überprüfung von Organisationen verabschiedet habe. Ryschikow schreibt insbesondere:
"Zu unserem großen Bedauern erfordern die derzeitigen strengen Vorschriften dieses Konsortiums zwangsläufig die Einhaltung internationaler Sanktionsbeschränkungen. Aus diesem Grund hat die globale Zertifizierungsstelle ein Verfahren zur zwangsweisen Rücknahme eines Teils der zuvor ausgestellten Zertifikate für Unternehmen aus Russland eingeleitet."
In dem Schreiben wird zudem betont, dass GlobalSign keinen Einfluss auf die Entscheidungen der globalen Regulierungsbehörde habe und lediglich dazu verpflichtet sei, diese umzusetzen, was das Unternehmen in den kommenden Tagen und Wochen auch tun werde. Wie RBK anmerkt, enthält das auf der Webseite des CA/Browser Forums veröffentlichte Dokument, das am 4. Mai in Kraft getreten ist, ein direktes Verbot für Zertifizierungsstellen, Zertifikate an Unternehmen aus Sanktionslisten auszustellen.
Die russische T-Bank hat ihren Kunden bereits SMS mit der Warnung verschickt, dass es zu Schwierigkeiten beim Zugriff auf die Webseiten und Apps der Bank kommen könnte. Nach Schätzungen von Marktteilnehmern stehen etwa 15.000 bis 20.000 Second-Level-Domains – also die Hauptadressen der Webseiten – auf der Liste für den Widerruf von Zertifikaten, doch unter jeder dieser Domains können sich Hunderte oder Tausende von Subdomains der dritten und weiterer Ebenen befinden. Die tatsächliche Anzahl der Zertifikate, die widerrufen werden könnten, könnte daher in die Millionen gehen.
Der unabhängige Experte für Informationssicherheit, Alexei Lukazki, wies im Gespräch mit RBK darauf hin, dass der derzeitige Entzug von Zertifikaten nicht der letzte sein werde. Er betonte:
"Es hängt alles davon ab, welche Unternehmen unter die neue Regulierung fallen. Eine sehr große Anzahl bedeutender Akteure der russischen Wirtschaft ist von Sanktionen oder künftigen europäischen Sanktionspaketen betroffen – und diese Geschichte wird sich mit Sicherheit fortsetzen."
Ein SSL-Zertifikat ist der digitale "Ausweis" einer Webseite. Es bestätigt die Echtheit der Webseite und garantiert, dass der Nutzer tatsächlich mit der gewünschten Seite verbunden ist und nicht mit einer gefälschten. Außerdem verschlüsselt es den Datenverkehr zwischen Browser und Server, sodass dieser nicht abgefangen werden kann. Der Widerruf eines Zertifikats bedeutet, dass Browser und Systeme es als ungültig betrachten, und viele Browser sowie Dienste, einschließlich Unternehmensanwendungen, können den Zugriff sogar vollständig blockieren.
GlobalSign war die einzige internationale Zertifizierungsstelle, die bereits im Jahr 2013 eine Niederlassung in Russland eröffnet hatte. Nachdem im März 2022 internationale Zertifizierungsstellen die Ausstellung von Zertifikaten für die russischen Domains .RU, .РФ, .SU sowie die weißrussische Domain .BY eingestellt hatten, blieb GlobalSign die einzige große kommerzielle Zertifizierungsstelle weltweit, die ihre Arbeit mit russischen Kunden in vollem Umfang fortsetzte.
Mehr zum Thema ‒ Google unter Druck: EU bereitet Rekordstrafe gegen IT-Konzern vor