Adam Langley Google will bei SSL auf Online-Revocation-Checks verzichten

Adam Langley aus Googles Sicherheitsteam kündigt in seinem privaten Blog an, dass Googles Browser Chrome bei SSL künftig nicht bei der CA anfragen wird, ob ein Zertifikat zurückgezogen wurde. Das erhöhe die Sicherheit nicht und dauere dadurch unnötig lang.

Anzeige

Baut ein Browser eine verschlüsselte Verbindung per SSL auf, prüft er nicht nur, ob das verwendete Zertifikat gültig ist, sondern führt auch eine sogenannte Revocation-Prüfung durch. Dabei wird mit einer Anfrage an die zuständige Certificate Authority geklärt, ob diese das gültig erscheinende Zertifikat nicht längst zurückgezogen hat.

Auf diese Prüfung werde Googles Browser Chrome künftig verzichten, schreibt Adam Langley aus Googles Sicherheitsteam in seinem privaten Blog. Nach Ansicht von Langley bietet diese Prüfung keine zusätzliche Sicherheit: Kann ein Browser die CA nicht erreichen, was häufiger vorkommen soll als die meisten denken, baut er die Verbindung dennoch auf. Ein Angreifer, der sich ein falsches Zertifikat verschafft und Nutzer auf seine Seite gebracht hat, muss also lediglich den einmaligen Zugriff auf die CA verhindern.

Langley vergleicht dieses durchaus übliche Vorgehen mit einem Sicherheitsgurt, der im Fall eines Unfalls aufgeht. Das System funktioniert fast immer, nur nicht dann, wenn man es wirklich benötigt.

Zudem verlangsamen die Revocation-Checks den Aufbau einer verschlüsselten Verbindung, was dazu führe, dass viele Websitebetreiber lieber auf SSL verzichten. Die Verzögerung betrage im Durchschnitt rund eine Sekunde, so Langley.

Statt also die Zertifikate beim Verbindungsaufbau zu prüfen, soll Chrome künftig auf eine integrierte Liste mit zurückgezogenen Zertifikaten zurückgreifen. Diese stellt Google aus Listen zurückgezogener Zertifikate zusammen, die von den CAs veröffentlicht werden sollen. Dieser Ansatz, so Langley, biete Nutzern letztendlich einen besseren Schutz und beschleunige zudem SSL.

Die Liste der zurückgezogenen Zertifikate will Google als Browserupdate verteilen, wobei die Liste ohne Neustart des Browsers aktualisiert werden kann. Zwar könnten Angreifer auch diese Anfragen blockieren, sie müssten das aber dauerhaft tun, was schwieriger sei, als die einmalige Anfrage bei einem Revocation-Check zu unterbinden.

Kommentarübersicht
Man könnte auch nach Verbindung prüfen
Martin F. 07. Feb 2012

Erstmal die Seite laden, parallel die CA nach Widerruf befragen und Eingaben (oder falls...

Re: Ist das denn nicht üblich?
Programie 07. Feb 2012

Es muss ja nicht die CA kompromittiert sein. Ein einfaches Umbiegen der Anfrage an einen...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Produktmanager (m/w)
    DFS Deutsche Flugsicherung GmbH Unternehmenszentrale, Langen
  2. IP Solution Architect (m/w)
    Unitymedia KabelBW, Kerpen/Stuttgart (Reisebereitschaft)
  3. User Experience Designer (m/w)
    PAYBACK GmbH, München
  4. Mobile Backend Developer (m/w)
    insparx GmbH, Munich

 

Detailsuche

Folgen Sie uns
       
Videos
Neuerungen der Google-Suche Neuerungen der Google-Suche
Ticker
  1. Kinect für Windows

    Xbox-One-Sensor kommt 2014 auch für PC

  2. Chrome 28 Beta

    Blink sorgt für kürzere Ladezeiten

  3. Scanadu Scout

    Tricorder für 150 US-Dollar

  4. Steifes Kabel

    iPhone am Schwanenhals

  5. Need for Speed Rivals

    Verfolgungsjagden zwischen Cops und Rasern

  6. Digitimes

    Windows-8-Tablets sollen 8 Prozent des Marktes erreichen

  7. Doc Patch

    Das Grundgesetz wird Open Data

  8. Bibliotheca Augusta

    Bibliothek stellt Buchscans unter Creative-Commons-Lizenz

  9. 802.11ac

    Erster Chipsatz für WLAN mit 1,7 GBit/s

  10. Windenergie

    Google kauft Hersteller von Windkraftwerken

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Akku
Superkondensator: Neuer Energiespeicher mit kurzer Ladezeit
Superkondensator
Neuer Energiespeicher mit kurzer Ladezeit

Ein Smartphone, das in einer halben Minute geladen ist, soll ein neuer Energiespeicher ermöglichen. Die Entwicklerin kam auf die Idee, weil sie sich über den dauernd leeren Akku ihres Mobiltelefons geärgert hat.

  1. Silverback-Gorilla Akku als Steckdosenersatz für Notebooks
  2. Akku Kleiner Akku mit großer Leistung
  3. Paul Scherrer Institut Lithium-Ionen-Akkus haben doch einen Memory-Effekt
Playstation 4
Sony: Die Playstation 4 ist schwarz - und verschwommen
Sony
Die Playstation 4 ist schwarz - und verschwommen

Störfeuer von Sony: Kurz vor der Enthüllung der nächsten Xbox hat Sony ein Video veröffentlicht, das zumindest einen verschwommenen Blick auf das Gehäuse der Playstation 4 gewährt.

  1. Temash, Kabini, Richland AMDs mobile APUs von 4 bis 35 Watt sind da
  2. Xbox One Forza 5 und Halo-Serie von Spielberg kommen für Xbox One
  3. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk
Google Drive
Android: Updates für Google Drive und Chrome
Android
Updates für Google Drive und Chrome

Google hat die Android-Apps Drive und Chrome aktualisiert. Die Google-Drive-App im aktualisierten Erscheinungsbild bringt eine Bildvorschau, eine Scanfunktion und eine Downloadmöglichkeit. Chrome bringt einen Vollbildmodus und eine Verlaufsfunktion innerhalb eines Browsertabs.

  1. Google Ein Cloud-Speicher für alle Dienste
  2. Microsoft Office Web Apps führen Echtzeitzusammenarbeit ein
  3. Extension Office-Dateien direkt in Chrome betrachten
Forumsbeiträge »
  1. Xbox One Big Brother im Wohnzimmer

    Re: Nicht abwärts Kompatibel? Glatte Lüge

    Clown | 09:31

  2. Xbox One Big Brother im Wohnzimmer

    Re: Das Patent mit dem Nutzer im Raum zählen und...

    robinx999 | 09:31

  3. Scanadu Scout Tricorder für 150 US-Dollar

    Was noch fehlt

    Lala Satalin... | 09:30

  4. Doc Patch Das Grundgesetz wird Open Data

    DIN auch

    minastaros | 09:29

  5. Xbox One Big Brother im Wohnzimmer

    Re: Vergleich mit Smartphone

    Elgareth | 09:27

Ticker »
  1. Kinect für Windows Xbox-One-Sensor kommt 2014 auch für PC

    09:10

  2. Chrome 28 Beta Blink sorgt für kürzere Ladezeiten

    08:46

  3. Scanadu Scout Tricorder für 150 US-Dollar

    08:34

  4. Steifes Kabel iPhone am Schwanenhals

    08:19

  5. Need for Speed Rivals Verfolgungsjagden zwischen Cops und Rasern

    21:07

  6. Digitimes Windows-8-Tablets sollen 8 Prozent des Marktes erreichen

    19:04

  7. Doc Patch Das Grundgesetz wird Open Data

    18:57

  8. Bibliotheca Augusta Bibliothek stellt Buchscans unter Creative-Commons-Lizenz

    18:20

Zum Artikel