Adam Langley Google will bei SSL auf Online-Revocation-Checks verzichten

Adam Langley aus Googles Sicherheitsteam kündigt in seinem privaten Blog an, dass Googles Browser Chrome bei SSL künftig nicht bei der CA anfragen wird, ob ein Zertifikat zurückgezogen wurde. Das erhöhe die Sicherheit nicht und dauere dadurch unnötig lang.

Anzeige

Baut ein Browser eine verschlüsselte Verbindung per SSL auf, prüft er nicht nur, ob das verwendete Zertifikat gültig ist, sondern führt auch eine sogenannte Revocation-Prüfung durch. Dabei wird mit einer Anfrage an die zuständige Certificate Authority geklärt, ob diese das gültig erscheinende Zertifikat nicht längst zurückgezogen hat.

Auf diese Prüfung werde Googles Browser Chrome künftig verzichten, schreibt Adam Langley aus Googles Sicherheitsteam in seinem privaten Blog. Nach Ansicht von Langley bietet diese Prüfung keine zusätzliche Sicherheit: Kann ein Browser die CA nicht erreichen, was häufiger vorkommen soll als die meisten denken, baut er die Verbindung dennoch auf. Ein Angreifer, der sich ein falsches Zertifikat verschafft und Nutzer auf seine Seite gebracht hat, muss also lediglich den einmaligen Zugriff auf die CA verhindern.

Langley vergleicht dieses durchaus übliche Vorgehen mit einem Sicherheitsgurt, der im Fall eines Unfalls aufgeht. Das System funktioniert fast immer, nur nicht dann, wenn man es wirklich benötigt.

Zudem verlangsamen die Revocation-Checks den Aufbau einer verschlüsselten Verbindung, was dazu führe, dass viele Websitebetreiber lieber auf SSL verzichten. Die Verzögerung betrage im Durchschnitt rund eine Sekunde, so Langley.

Statt also die Zertifikate beim Verbindungsaufbau zu prüfen, soll Chrome künftig auf eine integrierte Liste mit zurückgezogenen Zertifikaten zurückgreifen. Diese stellt Google aus Listen zurückgezogener Zertifikate zusammen, die von den CAs veröffentlicht werden sollen. Dieser Ansatz, so Langley, biete Nutzern letztendlich einen besseren Schutz und beschleunige zudem SSL.

Die Liste der zurückgezogenen Zertifikate will Google als Browserupdate verteilen, wobei die Liste ohne Neustart des Browsers aktualisiert werden kann. Zwar könnten Angreifer auch diese Anfragen blockieren, sie müssten das aber dauerhaft tun, was schwieriger sei, als die einmalige Anfrage bei einem Revocation-Check zu unterbinden.

Kommentarübersicht
Man könnte auch nach Verbindung prüfen
Martin F. 07. Feb 2012

Erstmal die Seite laden, parallel die CA nach Widerruf befragen und Eingaben (oder falls...

Re: Ist das denn nicht üblich?
Programie 07. Feb 2012

Es muss ja nicht die CA kompromittiert sein. Ein einfaches Umbiegen der Anfrage an einen...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Teamleiter Infrastruktur (m/w)
    SolarWorld AG, keine Angabe
  2. (Junior) IT-Consultant (m/w)
    Tangram TeleOffice GmbH, Herrenberg
  3. Informatiker / Fachinformatiker IT Support (m/w)
    CROWN Gabelstapler GmbH & Co. KG, München
  4. Techniker Steuergerätetest Hardware-in-the-Loop (m/w)
    MBtech Group GmbH & Co. KGaA, Mannheim

 

Detailsuche

Folgen Sie uns
       
Videos
Crimson Dragon für Kinect - Trailer (Gameplay) Crimson Dragon für Kinect - Trailer (Gameplay)
Meistgelesen
  1. Samsung Galaxy S3

    Siri braucht sich nicht zu fürchten
  2. Schmerzlos

    MIT-Forscher entwickeln Injektor mit Lorentzkraft-Antrieb
  3. CSU-Vizechefin

    Aussagen zur Internetsucht sind absurd
  4. USB-Sticks und Speicherkarten

    Hersteller wehren sich gegen neue "Mondtarife"
  5. iOS

    Untethered Jailbreak für iOS 5.1.1 erschienen
Meistkommentiert
  1. USB-Sticks und Speicherkarten: Pauschalabgaben sollen von 10 Cent auf knapp 2 Euro steigen

    Kommentare: 221 | letzter Beitrag 09:51 Uhr

  2. Bundesregierung: Deutsche Geheimdienste können PGP entschlüsseln

    Kommentare: 215 | letzter Beitrag 25.05. 11:40

  3. USB-Sticks und Speicherkarten: Hersteller wehren sich gegen neue "Mondtarife"

    Kommentare: 148 | letzter Beitrag 15:42 Uhr

  4. Bernd Schlömer: Twittern und Mailen für die Piratenpartei im Dienst verboten

    Kommentare: 92 | letzter Beitrag 13:11 Uhr

  5. Linux in Unternehmen: "Die Zeit der Grabenkämpfe ist vorbei"

    Kommentare: 68 | letzter Beitrag 25.05. 12:17

Mehr

Ticker
  1. Browser

    Kauft Facebook Opera?

  2. Datenschutz

    Neue EU-Regeln zu Cookies treten in Kraft

  3. Libreoffice

    "Wir wollen Nutzer in die ODF-Welt ziehen"

  4. Golem.de guckt

    Freundesmassen

  5. SpaceX

    Dockingmanöver an der ISS abgeschlossen

  6. iOS

    Untethered Jailbreak für iOS 5.1.1 erschienen

  7. CSU-Vizechefin

    Aussagen zur Internetsucht sind absurd

  8. Schmerzlos

    MIT-Forscher entwickeln Injektor mit Lorentzkraft-Antrieb

  9. Sony

    Music Unlimited nun auch fürs iPhone

  10. Samsung Galaxy S3

    Siri braucht sich nicht zu fürchten

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

iPhone 5
Zulieferer: Sony soll iPhone 5 mit In-Cell-Touchscreen ausrüsten
Zulieferer
Sony soll iPhone 5 mit In-Cell-Touchscreen ausrüsten

Laut Apple-Zulieferern wird das iPhone 5 mit einem neuartigen In-Cell-Touchscreen ausgerüstet. Als Hersteller soll Sony infrage kommen. Bislang hieß es, dass Apple Sharp und Toshiba bevorzugen würde.

  1. iPhone 5 Kleinerer Dock-Connector im Gespräch
  2. Streit um Domains Apple hat Domain iPhone5.com erhalten
  3. 4 Zoll iPhone 5 wohl mit größerem Display
Games
Lollipop Chainsaw angespielt: Blond und brutal
Lollipop Chainsaw angespielt
Blond und brutal

Der japanische Spieldesigner Goichi Suda - Fans sagen schlicht "Suda 51" - ist für schräge Actionspiele bekannt. Sein nächstes Werk schickt ein scheinbar braves Schulmädchen in den Kampf gegen Zombies.

  1. Spielepublisher in Not dtp Entertainment meldet Insolvenz an
  2. US-Umsätze im März 2012 Spielemarkt schrumpft weiter
  3. Starlight Inception Lucas-Arts-Veteran kämpft für das Weltraum-Action-Genre
Chrome OS
Samsung XE300: Google Chromebox versehentlich ausgeliefert
Samsung XE300
Google Chromebox versehentlich ausgeliefert

Weitgehend unbemerkt hat der US-Händler Tigerdirect die ersten Chromebox-Systeme von Google ausgeliefert. Für 330 US-Dollar bekommt der Nutzer recht gute Hardware in Nettop-Form, die sehr viel leistungsfähiger ist als die des Chromebook mit ChromeOS.

  1. Googles Aura Chromium OS mit klassischem Desktop
Forumsbeiträge »
  1. Browser Kauft Facebook Opera?

    Von wem wird eigentlich Zuckerberg so schlecht...

    Stereo | 16:10

  2. Datenschutz Neue EU-Regeln zu Cookies treten in Kraft

    Re: Und das soll wie funktionieren???

    Sebbi | 16:08

  3. Datenschutz Neue EU-Regeln zu Cookies treten in Kraft

    Re: Wieder so eine Regel von Schwachmaten, welche...

    beaver | 16:07

  4. USB-Sticks und Speicherkarten Hersteller wehren sich gegen neue "Mondtarife"

    Warum kein Kopfgeld auf Raubkopierer von der GEMA?

    NeverDefeated | 16:07

  5. Libreoffice "Wir wollen Nutzer in die ODF-Welt ziehen"

    Konkurrenz belebt das Geschäft.

    Atalanttore | 16:05

Ticker »
  1. Browser Kauft Facebook Opera?

    14:48

  2. Datenschutz Neue EU-Regeln zu Cookies treten in Kraft

    14:29

  3. Libreoffice "Wir wollen Nutzer in die ODF-Welt ziehen"

    14:24

  4. Golem.de guckt Freundesmassen

    12:30

  5. SpaceX Dockingmanöver an der ISS abgeschlossen

    12:23

  6. iOS Untethered Jailbreak für iOS 5.1.1 erschienen

    18:49

  7. CSU-Vizechefin Aussagen zur Internetsucht sind absurd

    18:33

  8. Schmerzlos MIT-Forscher entwickeln Injektor mit Lorentzkraft-Antrieb

    18:08

Zum Artikel