Luxtrust die Zweite

Luxtrust die Zweite

Lustrust (nachfolgend: LT) bietet digitale Zertifikate an, die man u. a. für den UPC verwenden kann. Mein Weg mit einem Luxtrust Zertifikat war steinig, das war aber auch dem CMS des UPC und allerhand Anfangsschwierigkeiten auf allen drei Seiten geschuldet. Der UPC hat sich entwickelt, ich selbst habe dazugelernt. Mit LT durfte ich jüngst Kontakt aufnehmen, um mein Zertifikat zu verlängern.

Das war, kurz zusammengefasst, eine Erfahrung, die mich einen anderen Anbieter suchen lässt:

• Die LT-Seiten sind lausig gemacht, funktionieren auf einem Niveau, das in den 2000er Jahren grade so vertretbar gewesen sein mag. Die Internationalisierung ist an entscheidenden Stellen verwirrend bis falsch
• Man verwendet immer noch CAPTACHAs (haha), von denen alle wissen, dass sie a.) von Automaten besser als von Menschen gelöst werden, b.) die Usability einer Seite senken und c.) die Sicherheit nicht erhöhen
• Die Luxtrust Karte funktioniert nur, wenn man eine “Middleware” einsetzt, die Intel-Code verwendet, also völlig veraltet ist
• Mit Safari kann man das Zertifikat bei LT gar nicht nutzen, mit Firefox nur, wenn man aber auch alle Sicherheitsfeatures ausschaltet: Pop-ups erlauben; Sicherheitseinstellungen auf “Benutzerdefiniert” und “Größere Probleme mit Websites beheben (empfohlen)” sowie “Kleinere Probleme mit Websites beheben” aktivieren; AdGuard und AdBlock Plus deaktivieren. Das sind alles Einstellungen, die gegen übergriffige Websites helfen, die anderen haben kein Problem damit
• Ich bin den Prozess durchlaufen, ohne dass ich Zahlungsinformationen angeben konnte (Pop-Ups!). Auftragsbestätigung, Auftragsnummer, alles da. Der Support konnte mir nicht sagen, ob nun eine Bestellung vorliegt oder nicht
• Die LT-Seite, die das Zertifikat ausliest, muss ich ca. 15 – 25 mal frisch laden (CMD-SHIFT-R), bevor ich bei LT reinkomme. Alle anderen von mir getesteten zertifikatsgesicherten Seiten, auch die des UPC, waren deutlich benutzerfreundlicher
• Verlängern kann man zunächst nur ein gültiges Zertifikat. Am letzten Tag der Gültigkeit sieht LT das Zertifikat bereits als abgelaufen an
• Ein abgelaufenes Zertifikat zu erneuern geht offenbar auch. Das erfordert eine Online-Identifikation und kostet 210 €. Interessant, denn ein neues Zertifikat mit Online-Identifikation gibt es für 135 €
• Die Online-Identifikation erfolgt gegenüber einer Stelle, die sich nicht gegenüber dem Nutzer authentifiziert. Ich finde die Online-Identifikation wirklich unangenehm genug, aber dass ich nicht einmal weiß, mit welcher Legitimation mein Gegenüber arbeitet, ist viel verlangt.
• Das zugesandte Zertifikat enthält kryptografische Schlüssel, die von LT generiert sind. Das ist m. E. ein grundlegendes Problem, denn wer sagt mir, dass meine Schlüssel nicht schon auf dem Weg zu mir abgeleitet wurden? Mein SmartCard-Passwort (initial auch von LT vorgegeben) kann ich zwar ändern, die Schlüssel aber nicht.
• Informatik Grundkurs: ein kryptografisches Schlüsselpaar wird vom Nutzer erzeugt und vom Aussteller digital signiert. Alles andere erfordert, dass der Nutzer dem Aussteller blind vertraut. Aber warum sollte man das bei LT tun?

Meine Erfahrung mit LT war ungefähr vergleichbar mit der bei einem Telekommunikationsanbieter, bei dem ich eine SIM bestellen und freischalten will. Einer von den kleineren Resellern. Mit Sitz in einem Steuerparadies.

Echtjetzt: Sicherheit ist nicht soo schwer. Die fängt damit an, dass sie gegenseitig ist und kein Gefälle hat. Die Art und Weise, wie man ein Sicherheitsprodukt verkauft, sollte irgendwie vertrauensbildend sein und nicht krass unsicher und obendrein unfunktional sein. Sonst ist man halt kein Sicherheitsanbieter, sondern irgendwas anderes.

Würden Sie einem Anbieter vertrauen, dessen Webseite gespickt ist mit Trackern? Dessen Web-Formulare nicht funktionieren? Der bei der Datumsberechnung einen off-by-one Fehler macht? Der Ihnen einen höheren als den normalen Preis vorschlägt? Der seinen Verkaufsprozess offensichtlich nicht im Griff hat? Ich tue das nicht einmal, wenn ich etwas anderes als ein Sicherheitsprodukt von ihm haben möchte.