Abo
  • Services:
Anzeige
Chrome ist künftig strenger bei TLS-Zertifikaten.
Chrome ist künftig strenger bei TLS-Zertifikaten. (Bild: Google)

Chrome: Strengere Regeln für TLS-Zertifikate

Googles Browser wird künftig Nutzer bei Zertifikaten mit kurzen Schlüsseln und anderen Problemen warnen. Auch eine neue Technologie namens Certificate Transparency, die betrügerische Zertifizierungsstellen identifiziert, soll bald genutzt werden.

Anzeige

Google hat angekündigt, einige Veränderungen im Browser Chrome vorzunehmen, die die Sicherheit von SSL-/TLS-Zertifikaten erhöhen sollen. Das kündigte Google-Mitarbeiter Ryan Sleevi auf der Mailingliste des CA/Browser-Forums an. Das CA/Browser-Forum ist ein Gremium, in dem sich fast alle relevanten Browserhersteller und die in den Browsern mitgelieferten Zertifizierungsstellen (CAs) koordinieren.

Demnach will Google künftig prüfen, ob Zertifikate von HTTPS-Seiten die sogenannten Baseline Requirements des CA/Browser-Forums erfüllen. Eine der wichtigsten Änderungen ist vermutlich die Länge der RSA-Schlüssel. Ab 2014 wird Chrome eine Warnung anzeigen, wenn Zertifikate mit einer Schlüssellänge unter 2.048 Bit genutzt werden.

Warnungen vor RSA-Schlüssellängen mit einer Länge von 1.024 Bit gibt es schon seit etwa zehn Jahren. Die US-Behörde Nist hatte bereits seit Jahren empfohlen, die Nutzung von solch kurzen Schlüsseln spätestens 2010 zu beenden. Doch das hielt die Zertifizierungsstellen nicht davon ab, noch lange Zeit deutlich kürzere Schlüssel einzusetzen. 2010 fand ein Forschungsprojekt der Electronic Frontier Foundation sogar noch zahlreiche Schlüssel mit 512 oder 768 Bit.

Eine Ausnahme gibt es allerdings: Bei den Root-Zertifikaten wird Google 1.024 Bit weiterhin akzeptieren. Die Root-Zertifikate gelten üblicherweise deutlich länger als gewöhnliche Webseitenzertifikate. Insofern gestaltet sich dort die Umstellung als langwierig und einige Zertifizierungsstellen haben ihre Root-Zertifikate noch nicht auf längere Schlüssel umgestellt. Sonderlich glücklich ist man bei Google damit allerdings nicht. Vorsorglich kündigt Sleevi bereits an, dass Zertifizierungsstellen, die weiterhin auf kurze Schlüssel setzen, damit rechnen müssen, in Zukunft aus dem Chrome-Browser entfernt zu werden.

Eine weitere Änderung: Die Baseline Requirements beschränken die maximale Gültigkeitsdauer von Zertifikaten auf fünf Jahre. Außerdem werden Zertifikate, bei denen keine Möglichkeit der Gültigkeitsprüfung über das Protokoll OCSP bestehen, nicht mehr akzeptiert.

Die Baseline Requirements gelten eigentlich für alle im CA/Browser-Forum zusammengeschlossenen Zertifizierungsstellen seit Juli 2013. Jedoch listet die Webseite Netcraft eine ganze Reihe von Fällen auf, in denen Zertifizierungsstellen die Baseline Requirements seitdem verletzt haben. Ironisch dabei: Selbst Google hat noch in jüngster Zeit Zertifikate genutzt, die keine OCSP-Gültigkeitsprüfung ermöglichten und damit genau die Regeln verletzt, die man jetzt strenger durchsetzen möchte.

Weiterhin kündigt Google an, die Unterstützung des Protokolls Certificate Transparency in Zukunft vorauszusetzen. Allerdings gibt es hierfür noch keinen festen Zeitplan, zunächst soll sich die Überprüfung auch auf sogenannte Extended-Validation-Zertifikate beschränken. Certificate Transparency soll dazu dienen, Zertifizierungsstellen zu identifizieren, die böswillig Zertifikate ausstellen.

Die Idee dabei: In einem für jeden einsehbaren Log-System sollen alle Zertifikate registriert werden. Diese werden von Log-Servern verwaltet. Nur öffentlich registrierte Zertifikate sind auch gültig. Es soll dabei insbesondere unmöglich sein, Zertifikate nachträglich aus dem Log zu entfernen oder welche einzufügen. Wenn eine Zertifizierungsstelle nun böswillig ein Zertifikat ausstellt, welches etwa zur Überwachung von Nutzern eingesetzt wird, lässt sich dies zwar nicht direkt verhindern, es lässt sich jedoch auch nicht geheim halten.

Das Konzept der Certificate Transparency mit einem öffentlich einsehbaren Log hat gewisse Ähnlichkeiten mit einem früheren Vorschlag der Electronic Frontier Foundation namens Sovereign Keys, der jedoch nie umgesetzt wurde.


eye home zur Startseite
Thaodan 27. Sep 2013

So weit ich weiß kann man die Standard Keybinds nicht überschreiben, deswegen gibt leider...

mirko_drechsel 27. Sep 2013

... für den Endnutzer, sondern nur eine weitere Runde im Wettrüsten. Kommt natürlich...

dura 27. Sep 2013

Die Extension Certificate Patrol existiert schon lange unter Firefox und kann bei...

strx 27. Sep 2013

das hat die alte Version von opera 12.16 schon seit über einem Jahr



Anzeige

Stellenmarkt
  1. Vossloh Locomotives GmbH, Kiel
  2. Syna GmbH, Frankfurt am Main
  3. Software AG, Saarbrücken
  4. über Hays, Frankfurt


Anzeige
Spiele-Angebote
  1. 10,99€
  2. 329,00€
  3. (-55%) 17,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Digitale Assistenten

    LG hat für das G6 mit Google und Amazon verhandelt

  2. Instant Tethering

    Googles automatischer WLAN-Hotspot

  3. 5G-Mobilfunk

    Netzbetreiber erhalten Hilfe bei Suche nach Funkmastplätzen

  4. Tinker-Board

    Asus bringt Raspberry-Pi-Klon

  5. Privatsphäre

    Verschlüsselter E-Mail-Dienst Lavabit kommt wieder

  6. Potus

    Donald Trump übernimmt präsidiales Twitter-Konto

  7. Funkchips

    Apple klagt gegen Qualcomm

  8. Die Woche im Video

    B/ow the Wh:st/e!

  9. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  10. TLS-Zertifikate

    Symantec verpeilt es schon wieder



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Donald Trump: Ein unsicherer Deal für die IT-Branche
Donald Trump
Ein unsicherer Deal für die IT-Branche
  1. USA Amazon will 100.000 neue Vollzeitstellen schaffen
  2. Trump auf Pressekonferenz "Die USA werden von jedem gehackt"
  3. US-Wahl US-Geheimdienste warnten Trump vor Erpressung durch Russland

Begnadigung: Danke, Chelsea Manning!
Begnadigung
Danke, Chelsea Manning!
  1. Verwirrung Assange will nicht in die USA - oder doch?
  2. Nach Begnadigung Mannings Assange weiter zu Auslieferung in die USA bereit
  3. Whistleblowerin Obama begnadigt Chelsea Manning

Shield TV (2017) im Test: Nvidias sonderbare Neuauflage
Shield TV (2017) im Test
Nvidias sonderbare Neuauflage
  1. Wayland Google erstellt Gamepad-Support für Android in Chrome OS
  2. Android Nougat Nvidia bringt Experience Upgrade 5.0 für Shield TV
  3. Nvidia Das Shield TV wird kleiner und kommt mit mehr Zubehör

  1. Re: WLAN Sharing währe mal was neues ...

    Sylthos | 19:10

  2. Re: Aprilscherz im Januar?

    torrbox | 19:03

  3. Re: Blöde Verständnisfrage

    kazhar | 18:55

  4. Re: Es wird immer was vergessen

    Topf | 18:54

  5. Re: 5G taugt doch in der Fläche technisch nichts

    mrgenie | 18:46


  1. 11:29

  2. 10:37

  3. 10:04

  4. 16:49

  5. 14:09

  6. 12:44

  7. 11:21

  8. 09:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel