Russische Webseiten könnten plötzlich in ausländischen Browsern unsichtbar werden. Die Auswirkungen wären enorm: Nicht nur zehntausende Internetseiten wären betroffen, sondern auch zahlreiche Anwendungen, die auf ausländische Sicherheitszertifikate angewiesen sind.
Am Morgen des 13. Juni begann der japanische Konzern GlobalSign – einer der weltweit größten Zertifizierungsdienste – damit, zuvor ausgestellte SSL-Zertifikate für russische Unternehmen zwangsweise zu annullieren. Dies berichtet das Wirtschaftsportal RBK unter Verweis auf ein Schreiben von Dmitri Ryschikow, dem Generaldirektor von “GMO GlobalSign Russia”, an die Geschäftspartner des Unternehmens in Russland. Laut RBK teilt Ryschikow mit, dass das internationale Gremium “CA/Browser Forum” – dem alle großen Zertifizierungsstellen und Browser-Entwickler angehören – überarbeitete Kontrollanforderungen für Organisationen verabschiedet habe. In seinem Schreiben heißt es:
“Leider schreiben die derzeit strengen Vorschriften dieses Konsortiums zwingend die Einhaltung internationaler Sanktionen vor. Deshalb hat die globale Zertifizierungsstelle ein Verfahren zur erzwungenen Rücknahme einiger zuvor für russische Unternehmen ausgestellter Zertifikate eingeleitet.”
Das Schreiben betont ferner, dass GlobalSign keinen Einfluss auf die Entscheidungen des internationalen Gremiums habe, sondern lediglich deren Umsetzung sicherstellen müsse. Dies werde das Unternehmen in den nächsten Tagen und Wochen tun. Wie RBK anmerkt, enthält das am 4. Mai in Kraft getretene Dokument auf der Website des CA/Browser Forums ein explizites Verbot, Zertifikate an Unternehmen von Sanktionslisten zu vergeben.
Die russische T-Bank hat ihre Kunden bereits per SMS gewarnt, dass der Zugriff auf ihre Webseiten und Apps erschwert sein könnte. Marktbeobachter schätzen, dass rund 15.000 bis 20.000 Second-Level-Domains – also die Hauptadressen von Webseiten – für den Zertifikatsentzug vorgesehen sind. Allerdings könnte jede dieser Domains Hunderte oder Tausende von Subdomains der dritten und weiteren Ebenen enthalten. Die tatsächliche Anzahl der zu annullierenden Zertifikate könnte daher in die Millionen gehen.
Im Gespräch mit RBK wies der unabhängige Sicherheitsexperte Alexei Lukazki darauf hin, dass dies nicht der letzte Entzug von Zertifikaten sein werde. Er erklärte:
“Alles hängt davon ab, welche Unternehmen unter die neuen Regeln fallen. Eine sehr große Anzahl bedeutender Akteure der russischen Wirtschaft ist von Sanktionen oder künftigen EU-Sanktionspaketen betroffen – und diese Entwicklung wird sich mit Sicherheit fortsetzen.”
Ein SSL-Zertifikat fungiert als digitaler “Ausweis” einer Webseite. Es bestätigt deren Authentizität und stellt sicher, dass der Nutzer tatsächlich mit der gewünschten Seite verbunden ist, nicht mit einer Fälschung. Zudem verschlüsselt es die Datenübertragung zwischen Browser und Server, sodass diese nicht abgefangen werden kann. Der Widerruf eines Zertifikats führt dazu, dass Browser und Systeme es als ungültig einstufen, und viele Browser sowie Dienste – darunter auch Firmenanwendungen – können den Zugriff sogar komplett blockieren.
GlobalSign war die einzige internationale Zertifizierungsstelle, die bereits 2013 eine Niederlassung in Russland eröffnete. Nachdem im März 2022 andere internationale Zertifizierungsdienste die Ausstellung von Zertifikaten für die russischen Domains .RU, .РФ, .SU sowie die weißrussische Domain .BY eingestellt hatten, blieb GlobalSign als einziger großer kommerzieller Anbieter weltweit, der seine Zusammenarbeit mit russischen Kunden in vollem Umfang fortsetzte.
Mehr zum Thema – Google unter Druck: EU bereitet Rekordstrafe gegen IT-Konzern vor