Aus dem Rechenzentrum

Seit vielen Jahren betreibt VeriSign unter anderem die .com- und auch die .net-Registry. Der heutige Newsletter unseres Domainregistrars, der schon wieder eine Preiserhöhung für .com- und .net-Domains ankündigte, veranlasste mich, einmal die Preiserhöhungen der letzten Jahre nachzuvollziehen. „Datum PM“ ist dabei mit dem Datum der jeweiligen Pressemitteilung verlinkt, die als Quelle herangezogen wurde; „Datum PE“ ist das Datum, ab dem die jeweilige Preiserhöhung gilt.

Der Preis für .com-Domains ist also innerhalb von gerade mal fünf Jahren um stolze 30,8% gestiegen, was immer noch ein Witz ist gegen den Preis von .net-Domains, der im gleichen Zeitraum sogar um 46,0% gestiegen ist.

Zu diesen Preisen, die VeriSign erhebt, kommt noch ein TLD-unabhängiger Zuschlag, der von ICANN erhoben wird. Während VeriSign aber immer teurer wird, sank der ursprüngliche ICANN-Zuschlag von ursprünglich $0.25 im Juli 2007 auf $0.20 und liegt derzeit nur noch bei $0.18 pro Domain und Jahr.

Nun hat Christoph Grueneberg vom Domainvermarktermagazin DVmag.de sich bereits ein wenig in den VeriSign-Verträgen mit ICANN umgesehen und ist im Vertrag für den .com-Betrieb in Abschnitt 7.3 auf sehr konkrete Bestimmungen gestoßen, was den Maximalpreis angeht, den VeriSign von seinen Resellern verlangen darf:

(d) Maximum Price. The Maximum Price for Registry Services subject to this Paragraph 7.3 shall be as follows:

(i) from the Effective Date through 31 December 2006, US$6.00;

(ii) for each calendar year beginning with 1 January 2007, the smaller of the preceding year’s Maximum Price or the highest price charged during the preceding year, multiplied by 1.07; provided, however, that such increases shall only be permitted in four years of any six year term of the Agreement. In any year, however, where a price increase does not occur, Registry Operator shall be entitled to increase the Maximum Price by an amount sufficient to cover any additional incremental costs incurred during the term of the Agreement due to the imposition of any new Consensus Policy or documented extraordinary expense resulting from an attack or threat of attack on the Security or Stability of the DNS, not to exceed the smaller of the preceding year’s Maximum Price or the highest price charged during the preceding year, multiplied by 1.07.

Für den Zeitraum vom 01.03.2006 (Abschluss der Vereinbarung bis zum 31.12.2006 liegt der Preis also bei maximal $6.00; beginnend mit dem 01.01.2007 darf VeriSign den Preis für .com-Domains um maximal 7% pro Jahr anheben. Christoph Grueneberg liegt allerdings aus meiner Sicht falsch, wenn er angibt:

Eine solche Gebührenerhöhung ist in der Regel nur alle vier Jahre innerhalb einer sechsjährig laufenden Vereinbarung gültig.

Abgesehen davon, dass „alle vier Jahre innerhalb einer sechsjährig laufenden Vereinbarung“ ja schon rein logisch nur exakt ein einziges Mal vorkommen kann, übersetze ich „such increases shall only be permitted in four years of any six year term of the Agreement“ ganz klar so, dass es in maximal vier von sechs Jahren der Vertragslaufzeit entsprechende Preiserhöhungen geben darf. Insofern hat VeriSign hier keine außerordentliche Belastungen geltend gemacht (wie das Posting auf DVmag.de vermuten ließ), denn in der Zeit vom 01.01.2007 bis heute, also in knapp fünf Jahren, hat VeriSign seine Preise „nur“ die zulässigen vier Mal erhöht, das aber jeweils auch in der maximal möglichen Höhe.

Für den Betrieb von .net wurde währenddessen bereits im April 2001 ein Maximalpreis von $6.00 festgelegt – und zwar ganz ohne eine Erhöhungsklausel. Insofern wundert es nicht, dass VeriSign hier gleich größere Schritte macht – bis zum Maximum von $6.00 ist ja noch ein bisschen Luft.

Zurecht fragt das DVmag, ob bei der steigenden Zahl von Domainregistrierungen nicht eigentlich der Preis eigentlich sinken müsste, zumal bei einem virtuellen Gut wie Domains, die in erster Linie indirekte Kosten in Form von Verwaltungsaufwand und Infrastrukturbetrieb bedeuten. Schauen wir uns also doch mal an, was VeriSign so mitteilt. Hierbei fällt auf, dass bei jeder Preiserhöhung die „queries per day“ verlautbart werden, die natürlich jedes Mal angestiegen sind. Extrahiert aus den Pressemeldungen:

• 15.04.2007: „nearly 30 billion queries per day today“
• 27.03.2008: „more than 33 billion DNS queries per day“ (+10%)
• 17.12.2009: „more than 50 billion queries per day“ (+52%)
• 14.07.2011: „an average daily query load of 57 billion“ (+14%)

Ich habe mir daher mal angeschaut, wieviele Domains zu den jeweiligen Zeiten so registriert waren, und habe dazu entsprechend stolze Pressemeldungen ausgewählt, die möglichst dicht an den Preiserhöhungs-Pressemeldungen lagen. Da gibt’s zu lesen:

• 05.03.2007: „The base of .com and .net domain names grew to 65 million domain names by the close of 2006“
• 05.03.2009: „The .com and .net adjusted base surpassed 80.4 million domain name registrations at the end of 2007.“ (+24%)
• 21.09.2009: „The overall base of .com and .net domain names grew to 93.5 million domain names during the second quarter of 2009“ (+16%)
• 31.08.2011: „The .com and .net Top Level Domains (TLDs) experienced aggregate growth, surpassing a combined total of 110 million names in the second quarter of 2011“ (+18%)

Während also von ca. Frühjahr 2007 bis ca. Herbst 2011 die Zahl der täglichen DNS-Anfragen um rund 90% gestiegen sind, ist die Zahl der Domains ebenfalls um immerhin 69% gestiegen – und damit entsprechend auch die mit Domains erwirtschafteten Umsätze.

Wofür sonst braucht VeriSign also kontinuierlich höhere Gebühren?

2007: „To address the increase in both DNS volume and cyber attacks, VeriSign recently announced a major initiative entitled Project Titan to expand the capacity of its global Internet infrastructure by ten times by the year 2010“ – VeriSign will seine Kapazitäten so erweitern, dass sie „over 4 trillion queries a day“ packen.

2008: „The .com and .net infrastructures are continually being fortified and scaled to defend against increasingly sophisticated cyber attacks and to help protect against service disruptions. VeriSign is increasing the capacity of its global Internet infrastructure by ten times by the year 2010.“

2009: „VeriSign will continue investment to build out the .com and .net infrastructures to manage the increasing demands on the infrastructure brought on by the proliferation of Internet-enabled phones and devices and the emergence of DNS-centric technologies and services. VeriSign also continues to scale and fortify the .com and .net infrastructures globally to defend against increasingly sophisticated cyber attacks.“

2011: „Continued strong global Internet usage growth, along with increasingly powerful distributed denial of service (DDoS) attacks leveled against all parts of the Internet’s critical infrastructure, have dramatically increased the demands on Internet infrastructure providers such as Verisign.“

Mit anderen Worten: The same procedure as every year. Immer mehr Leute benutzen das Internet (ach was!), und es gibt „cyber attacks“, und gerade als ich schon dachte, dass alles mit „cyber“ im Namen irgendwie so nach den 90ern klingt, sind’s 2011 prompt „DDoS attacks“ geworden.

Bleibt eben noch die Frage offen, wieso beispielsweise .de-Domains nicht nur schon immer wesentlich günstiger sind als .com- und .net-Domains, sondern auch seit Jahren nicht eine einzige Preiserhöhung erfahren haben – obwohl auch die DENIC kräftig in den Ausbau von Infrastruktur, IPv6-Deployment, Umsetzung von DNSSEC etc. investiert hat. Irgendwas scheint dort also besser zu laufen als bei VeriSign. Vielleicht braucht aber VeriSign das viele Geld auch nicht für Investitionen, sondern für, äh …

Aber das ist natürlich nur eine schamlose Vermutung. Wenn dann aber Mitte Januar möglicherweise auch bei uns die .com- und .net-Domains teurer werden, dann sollte nun zumindest bekannt sein, warum das so ist.

Wir sind VeriSign-Partner, um SSL-Zertifikate von Thawte, GeoTrust und anderen CAs dieser Gruppe beziehen zu können – immerhin werden diese häufig nachgefragt, und SSL ist ja im Prinzip auch eine gute Sache.

Allerdings nervt VeriSign gewaltig. Jeden Monat bekomme ich Mails mit meiner Accountaufstellung, mitsamt Vertragsbezeichnungen und konkreten Dollar-Beträgen, die ich ausgegeben habe und noch auf meinem Partner-Konto übrig habe – also durchaus sensible Daten. Die kommen unverschlüsselt, was ich für ein Unternehmen aus dem Security-Bereich schon bizarr genug finde. So bizarr, dass ich schon zig Mal und an verschiedene Adressen gefragt habe, worin denn hier die Sicherheit bestehen soll, wenn sensible persönliche Daten unverschlüsselt durch die Gegend gemailt werden, und dass man das doch bitte abschalten solle. Ergebnis? Keine Antwort, egal ob ich eine der generischen Adressen anschreibe oder meinen „persönlichen Account-Manager“, der namentlich unter der Mail genannt wird. Das stinkt mir schon mal gewaltig, wenn ein Unternehmen, bei dem ich jedes Jahr einige tausend Dollar lasse, sich nicht mal dazu in der Lage sieht, auf simple E-Mails zu antworten.

VeriSign ist aber noch anstrengender. Es kommen nämlich auch noch ständig Promotion-Mails rein, und jetzt seit neuestem auch noch eine Umfrage, die ich bitte ausfüllen möge und an die ich heute schon wieder erinnert wurde. So langsam reicht es mir. Wer uns kennt, weiß, dass wir nicht nur unsere Kunden, sondern auch unsere Lieferanten genau so höflich, professionell und vor allem auch herzlich behandeln, wie wir selbst gerne sowohl als Kunde als auch als Lieferant behandelt werden möchten. Das hat VeriSign aber im Lauf der Monate kräftig verspielt, denn wenn ich eins nicht haben kann, dann ist das „Kundenbeziehungsmanagement“, bei dem der Kunde die Beziehung selbst managen soll, unter anderem, in dem er irgendwelche Arbeiten erledigen soll, mit dem der Anbieter „messen“ will, wie „zufrieden“ man ist. Denn, ganz klar: „Your opinion is extremely valuable to us“! So extremely valuable, dass man sich die Mühe gemacht hat, ein Script anzuwerfen, das automatisiert dem gesamten Kundenbestand den Bauch pinselt und gleichzeitig anquengelt, man möge jetzt doch bitte auch noch kundtun, wie zufrieden man ist. In Sachen „Kundenbeziehung“ kommt das einer Bankrotterklärung nahe, denn Hand aufs Herz: Gäbe es tatsächlich eine Kundenbeziehung, dann wüsste das Unternehmen ja bereits, ob ich zufrieden bin oder nicht.

Daher nun also:

Dear VeriSign Partner Program Loyalty Team,

As part of our commitment to improve our partner program, I wrote to you last week to solicit your feedback about your experience with the VeriSign Partner Program. Although I understand the many constraints on your time, your opinion is extremely valuable to us.

Obviously, you do not understand the many constraints on my time, otherwise you wouldn’t constantly annoy me with such mailings.

We will ensure that your feedback is reviewed and used to drive improvements in the partner experience.

I don’t trust that.

For example, I constantly receive monthly accounting statements containing financial details of my account via unencrypted mail. I asked my account manager three times about VeriSigns understanding of security which obviously does not include the encryption of sensible data, which is baffling enough for a „security“ company.

I never got a single response.

That’s not the kind of company I’d invest even five minutes for your dumb „surveys“ if you’re simply not able to listen to things I tell you personally.

The survey will take about 5 to 10 minutes to complete. To access the survey, please click the Web address below.

Your mail is sent as multipart/alternative, containing both a HTML variant and a plain text variant.

The plain text variant does not contain a link at all. Are you really a company of Internet professionals?!

The HTML variant contains a link to the survey, which is unencrypted. Are you really a company of data security experts?!

To remove yourself from receiving future Symantec promotional mailings http://www.verisign.com/compref and update your communication preferences and user profile.

When I open that link, I get a redirect to …

https://forms.verisign.com/websurveys/servlet/ActionMultiplexer?Action_ID=ACT2000&WSD_mode=3&WSD_surveyInfoID=500&toc=…&brand=01&country=26&cid=…

… which provides a HTML page consisting of the word „null“ and nothing else. Are you really a company of Internet professionals?!

I never opted in into receiving such promotional mailings, and I’m not willing to invest any time to click through an obviously broken site of „communication preferences“. I’m paying you for getting SSL certs. Story finished. For God’s sake, stay away from me with your „promo“, „survey“ and „loyalty“ rubbish.

Regards,
Jonas Pasche

Über den Newsletter unseres Domainregistrars, der unter anderem auch SSL-Zertifikate anbietet, wurde ich auf die Website www.ist-die-seite-echt.de gestoßen, einer werblichen Website für Extended-Validation-SSL-Zertifikate (im Folgenden kurz EV-Zertifikate genannt), die ich absichtlich nicht direkt verlinke, um ihr nicht noch mehr unverdiente Hits zu verschaffen. Wer nicht weiß, was EV-Zertifikate sind: Das sind die SSL-Zertifikate, die dafür sorgen, dass im Browser die Adressleiste grün wird, und von denen die wenigsten wissen, warum überhaupt. Doch dazu gleich mehr.

Die Werbe-Website soll den Blick dafür öffnen, Phishing-Sites von echten Websites unterscheiden zu können. Dazu werden 10 Mal je zwei Screenshots parallel gezeigt und man soll beurteilen, welche davon die Phishing-Site ist. Nur die ersten fünf sind ein Ratespiel: Bei den zweiten fünf geht es um genau die selben Sites, aber eine davon hat eine grüne Adressleiste – Marketing mit dem Holzhammer.

Im ersten Fall tragen beide Screenshots eine https://-URL unter der identischen Domain. Die zweite trägt einen lustigen Text, der mit „Wir haben einen kleinen Fehler in Ihrem Konto entdeckt. Sie müssen links auf den Anmeldelink klicken“ beginnt, und die Erläuterung verrät: „Auf einer echten Website werden Sie niemals zur Abgabe von Benutzernamen und Passwörtern gezwungen“. Äh, wie meinen? Natürlich zwingen mich auch echte Websites dazu, unter anderem nämlich das Onlinebanking meiner Bank. Wie sonst sollte ich mich auch autorisieren? Mich hätte hier in diesem Fall eher der Sprachduktus des Texts stutzig gemacht, aber wie gesagt: Beide Screenshots zeigen eine Seite unter korrekter URL mit korrektem SSL-Zertifikat – nur eben keinem EV. Fragwürdiges Beispiel.

Im zweiten Fall war die URL gefälscht („http://www.quickmoos.de@12.21.101.4“). Nicht mal SSL-verschlüsselt. Das war leicht.

Im dritten Fall habe ich nun wirklich lange suchen müssen: Beide Sites sahen auf den ersten Blick völlig identisch aus. Beide Sites mit korrekter Domain; beide Sites mit korrektem Zertifikat – nur eben keinem EV. Die Begründung überrascht: Man hätte den linken Screenshot als Phishing-Site identifizieren sollen, weil … dort Rechtschreibfehler auf der Seite sind. Das ist doch nicht euer ernst, VeriSign. Nachdem ich in der Vergangenheit nicht nur Rechtschreibfehler, sondern zum Beispiel auch überhaupt nicht existierende E-Mail-Adressen auf der EV-zertifizierten (!) Website einer Zertifizierungsstelle (!!) der VeriSign-Gruppe (!!!) fand und noch dazu dann mit deren Support zu tun hatte, der überhaupt nicht verstand, wo hier das Problem lag, soll das ein Erkennungsmerkmal für Phishing-Sites sein?!

Beispiel Nummer vier ist nicht SSL-verschlüsselt. Simpel.

Beispiel Nummer fünf ist SSL-verschlüsselt, unter der korrekten Domain, und die Sites zeigen keinen Unterschied. Überraschung: VeriSign tut kund, dass manchmal Phisher so gut darin seien, Seiten zu fälschen, dass man tatsächlich überhaupt keinen Unterschied wahrnehmen könnte, und der einzige Schutz dagegen sei … der Einsatz von EV-Zertifikaten. Whoa!

Nun kann man natürlich zu dem Schluss kommen: Wow, EV-Zertifikate sind das neue geschnitten Brot, und ohne ist eigentlich alles andere unsicher – nicht zuletzt Beispiel Nummer 5 legte ja auch durchaus nahe, dass VeriSign der Meinung ist, ein „normales“ SSL-Zertifikat würde einen offensichtlich nicht vor Phishing schützen.

Unabhängig davon, ob das nun stimmt oder nicht, so ist es doch vor allem eins: Ein Armutszeugnis. Denn VeriSign hört natürlich in keinster Weise damit auf, auch weiterhin genau die Nicht-EV-Zertifikate zu verkloppen, von denen es auf seiner werblichen Website sagt, dass die überhaupt nichts taugen, wenn es darum geht, eine Phishing-Website von einer echten zu unterscheiden. Und zwar zu einem Nettopreis von, festhalten, 349,00 € für ein „Secure Site“- und 895,00 € für ein „Secure Site Pro“-Zertifikat. Und zwar für ein Jahr. Dazu fällt mir nur eins ein: Schamlos. Ein Produkt taugt was, das andere nicht; für diejenigen, denen das, was etwas taugt, aber vielleicht zu teuer ist, bieten wir das, was nichts taugt, aber ruhig weiterhin an. Das hat zwar vielleicht sehr viel mit Betriebswirtschaft zu tun – mit Sicherheit und Vertrauen aber gewiss nichts.

Davon abgesehen stellt sich doch die Frage: Was haben wir denn die ganzen letzten Jahre überhaupt mit SSL gemacht, wenn erst EV der Heilsbringer schlechthin ist und vorher jeglicher Schutz ganz offensichtlich wirkungslos?

Die Wikipedia fasst die Ansichten verschiedenster Quellen prägnant zusammen:

Die Ausgabe von SSL-Zertifikaten ist zwar grundsätzlich an eine Überprüfung des Antragstellers gebunden, der Preisdruck unter den Anbietern hat aber zu einer teilweise laxen Vergabepraxis und zu vereinfachten Zertifikaten geführt, die nicht mehr als den Domain-Namen zertifizieren. […] Kritiker sehen in dem neuen Standard teils den Versuch der Zertifizierungsstellen, sich dem Preiskampf in der SSL-Zertifikat-Ausgabe durch die Einführung eines neuen Premium-Produktes zu entziehen, das dem Benutzer wenig zusätzliche Sicherheit bringt, und das auch mit anderen Mitteln zu erreichen wäre.

Aha. Es ist also die laxe Vergabepraxis der Zertifizierungsstellen gewesen, die die Argumentation nährt, dass heutzutage angeblich alle Nicht-EV-Zertifikate nur Augenwischerei wären. Nur dass VeriSign wie gesagt selbst die laut ihrer eigenen Werbekampagne nicht als sicher erkennbaren Zertifikate weiterhin für sehr teures Geld verkauft (und die EV-Zertifikate dann für extrem teures Geld), während es gleichzeitig Website-Besuchern beibringt, solchen Zertifikaten nicht zu vertrauen, sondern nur denen mit der grünen Adressleiste.

Dazu muss man ein bisschen wissen, wie das alles mit SSL funktioniert. Kurz gesagt: Jeder kann SSL-Zertifikate ausstellen, zum Beispiel mit OpenSSL. Die eigentliche Wertigkeit bekommt ein Zertifikat dadurch, dass es von einer Stelle signiert wird, die überprüft, ob derjenige, der via Zertifikat behauptet, eine bestimmte Person oder ein bestimmtes Unternehmen zu sein, auch derjenige ist. Das kann zum Beispiel anhand der Vorlage eines Personalausweises geprüft werden oder auch anhand eines Handelsregisterauszugs. In einem Client (also zum Beispiel in Webbrowsern, genauso aber auch in Mailclients, in Handys, oder auch ganz allgemein in Betriebssystemen) ist dann eine Liste von Zertifizierungsstellen hinterlegt, die als vertrauenswürdig gelten. Soll heißen: Die Herausgeber jener Clients haben die Entscheidung über die Vertrauenswürdigkeit für den Anwender vorab getroffen. Dafür geben sie sich gewisse Richtlinien; hier als Beispiel die Mozilla CA Certificate Policy. Inweit es gut und richtig ist, Anwendern diese Entscheidung abzunehmen, kann diskutiert werden, aber es dient ohne Frage durchaus der Sicherheit, dem Anwender eine Liste vorzuschlagen (die er selbst ja noch anpassen kann), als ihm die Akzeptanz bestimmter Zertifizierungsstellen grundsätzlich ohne jegliches „Vorschussvertrauen“ selbst zu überlassen, was – Hand aufs Herz – vermutlich dazu führen würde, dass die meisten Anwender einfach ungesehen auf den Ja-und-Amen-Button klicken würden, wenn eine neue, bisher unbekannte Zertifizierungsstelle ins Spiel käme. Insofern muss man realistisch bleiben und sagen: Auch wenn die Vorgabe einer Liste von vertrauenswürdigen Zertifizierungsstellen nicht optimal ist; ohne solche Listen wäre das Sicherheitsdebakel heute sicherlich noch wesentlich schlimmer (oder hätte möglicherweise zu ganz anderen, vielleicht auch besseren Lösungen geführt – aber das ist nur Spekulation).

Festzuhalten bleibt jedenfalls eins: Auch wenn man darüber streiten mag, dass vielleicht die Policies der Browserhersteller schlicht nicht streng genug waren oder schwarze Schafe nicht aggressiv genug entfernt worden sind: Letztlich haben es die Zertifizierungsstellen selbst verbockt. Da finden sich Fälle, wo die Validierung ausschließlich darin besteht, eine Mail unter einer der vorgegebenen Adressen unter der zu zertifizierenden Domain empfangen zu können, wobei die Liste der erlaubten Adressen so umfangreich ist, dass man sich etliche davon einfach bei Freemailern registrieren kann, um flugs ein SSL-Zertifikat zu bekommen, das auf die Domain des Freemailers ausgestellt ist. Aber warum die Mühe, gibt es doch auch „Zertifizierungsstellen“, die Zertifikate gleich ganz ohne irgendeine Art von Prüfung ausstellten – wie hier im prominent gewordenen Fall für mozilla.com. Zwei äußerst lesenswerte Beiträge zu genau dieser Thematik finden sich auch bei mitternachtshacking.de: Teil 1, der sehr griffig die verschiedenen Stufen von Validierung erläutert, und Teil 2, der eine gesunde Portion Paranoia ergänzt.

Zu all diesen Beispielen für Verfehlungen von Zertifizierungsstellen fällt mir nicht mehr viel ein. Außer vielleicht eins: Liebe Zertifizierungsstellen, ihr seid die Letzen, von denen ich mir etwas verkaufen lassen würde, was angeblich einem Mehr an Sicherheit dienen soll. Das, was ihr nun großspurig als Extended Validation verkauft, ist das, was ihr eigentlich schon immer bei allen SSL-Zertifikaten hättet tun sollen. Dass ihr da in der Vergangenheit geschlampt habt und das nun zum Anlass nehmt, den Kunden noch viel teurere Zertifikate zu verkaufen, ist wirklich eine bodenlose Frechheit.

Und noch eins verstehe ich nicht: Nämlich, wieso Browserhersteller diesen „Spaß“ auch noch mitmachen und mit einer besonderen Hervorhebung wie der grünen Adressleiste würdigen, statt einfach eiskalt alle Zertifizierungsstellen aus der Liste zu werfen, die keine vertrauenswürdige Validierung durchführen. Diese Zwei-Klassen-Validierung hat nämlich ein Problem: Normale Anwender verstehen sie sowieso nicht. Kaum ein Anwender kann mir erklären, was denn nun bei einem grünen Zertifikat so besonders geprüft worden sei, dass erklärt wäre, warum es so besonders aussieht. Es sieht einfach nur besser aus. Und der perfide Umkehrschluss ist nämlich folgender: Die Zertifizierungsstellen können jetzt lauthals tönen, dass das einfache Schloss-Symbol im Browser nicht mehr aussagekräftig sei; es müsse schon die grüne Adressleiste sein – und damit den Druck auf Webmaster zu erhöhen, sich dieses überteuerte Schlangenöl zuzulegen. Damit diejenigen, die neben all den technischen Sicherheitsproblemen von SSL die mit Abstand größte Sicherheitslücke im System darstellen, künftig noch mehr Geld verdienen.

Christopher ergänzte, dass es früher wohl üblich war, dass die Zertifizierungsstellen den Browserherstellern eine nicht unerhebliche Menge Geld dafür in den Rachen warfen, um auf die Liste der vertrauenswürdigen Zertifizierungsstellen zu kommen, was mit der Folgerung „Finanzielles Interesse!“ eine veritable Erklärung für die im vorherigen Absatz aufgeworfene Frage darstellt:

Back in the early days of SSL Netscape charged CAs rather large fees to have their root certificates included in Netscape products.

Allerdings ist das heute offensichtlich nicht der Fall; weder Apple noch Opera noch Microsoft nehmen Geld für die Aufnahme in die Liste, und communitybasierte Produkte wie Firefox und Thunderbird erwartungsgemäß auch nicht. Damit bleibt die Frage des vorherigen Absatzes weiterhin offen.

Ach ja: An die Werbe-Website schließt sich übrigens ein „Gewinnspiel“ namens „SSL EV Race“ ein. Zu gewinnen gibt’s ein iPad. Bei einem Gewinnspiel wird typischerweise ein Preis ausgelost. Das ist hier aber überhaupt nicht der Fall. Das iPad bekommt nämlich derjenige, der in der vorgegeben Zeit die meisten EV-Zertifikate verkloppt hat. Insofern ist die Angelegenheit dann doch wirklich eher ein Rennen als ein Gewinnspiel. Und an diesem werden wir definitiv nicht teilnehmen – wollen.