Anzeige
Chrome ist künftig strenger bei TLS-Zertifikaten.
Chrome ist künftig strenger bei TLS-Zertifikaten. (Bild: Google)

Chrome: Strengere Regeln für TLS-Zertifikate

Googles Browser wird künftig Nutzer bei Zertifikaten mit kurzen Schlüsseln und anderen Problemen warnen. Auch eine neue Technologie namens Certificate Transparency, die betrügerische Zertifizierungsstellen identifiziert, soll bald genutzt werden.

Anzeige

Google hat angekündigt, einige Veränderungen im Browser Chrome vorzunehmen, die die Sicherheit von SSL-/TLS-Zertifikaten erhöhen sollen. Das kündigte Google-Mitarbeiter Ryan Sleevi auf der Mailingliste des CA/Browser-Forums an. Das CA/Browser-Forum ist ein Gremium, in dem sich fast alle relevanten Browserhersteller und die in den Browsern mitgelieferten Zertifizierungsstellen (CAs) koordinieren.

Demnach will Google künftig prüfen, ob Zertifikate von HTTPS-Seiten die sogenannten Baseline Requirements des CA/Browser-Forums erfüllen. Eine der wichtigsten Änderungen ist vermutlich die Länge der RSA-Schlüssel. Ab 2014 wird Chrome eine Warnung anzeigen, wenn Zertifikate mit einer Schlüssellänge unter 2.048 Bit genutzt werden.

Warnungen vor RSA-Schlüssellängen mit einer Länge von 1.024 Bit gibt es schon seit etwa zehn Jahren. Die US-Behörde Nist hatte bereits seit Jahren empfohlen, die Nutzung von solch kurzen Schlüsseln spätestens 2010 zu beenden. Doch das hielt die Zertifizierungsstellen nicht davon ab, noch lange Zeit deutlich kürzere Schlüssel einzusetzen. 2010 fand ein Forschungsprojekt der Electronic Frontier Foundation sogar noch zahlreiche Schlüssel mit 512 oder 768 Bit.

Eine Ausnahme gibt es allerdings: Bei den Root-Zertifikaten wird Google 1.024 Bit weiterhin akzeptieren. Die Root-Zertifikate gelten üblicherweise deutlich länger als gewöhnliche Webseitenzertifikate. Insofern gestaltet sich dort die Umstellung als langwierig und einige Zertifizierungsstellen haben ihre Root-Zertifikate noch nicht auf längere Schlüssel umgestellt. Sonderlich glücklich ist man bei Google damit allerdings nicht. Vorsorglich kündigt Sleevi bereits an, dass Zertifizierungsstellen, die weiterhin auf kurze Schlüssel setzen, damit rechnen müssen, in Zukunft aus dem Chrome-Browser entfernt zu werden.

Eine weitere Änderung: Die Baseline Requirements beschränken die maximale Gültigkeitsdauer von Zertifikaten auf fünf Jahre. Außerdem werden Zertifikate, bei denen keine Möglichkeit der Gültigkeitsprüfung über das Protokoll OCSP bestehen, nicht mehr akzeptiert.

Die Baseline Requirements gelten eigentlich für alle im CA/Browser-Forum zusammengeschlossenen Zertifizierungsstellen seit Juli 2013. Jedoch listet die Webseite Netcraft eine ganze Reihe von Fällen auf, in denen Zertifizierungsstellen die Baseline Requirements seitdem verletzt haben. Ironisch dabei: Selbst Google hat noch in jüngster Zeit Zertifikate genutzt, die keine OCSP-Gültigkeitsprüfung ermöglichten und damit genau die Regeln verletzt, die man jetzt strenger durchsetzen möchte.

Weiterhin kündigt Google an, die Unterstützung des Protokolls Certificate Transparency in Zukunft vorauszusetzen. Allerdings gibt es hierfür noch keinen festen Zeitplan, zunächst soll sich die Überprüfung auch auf sogenannte Extended-Validation-Zertifikate beschränken. Certificate Transparency soll dazu dienen, Zertifizierungsstellen zu identifizieren, die böswillig Zertifikate ausstellen.

Die Idee dabei: In einem für jeden einsehbaren Log-System sollen alle Zertifikate registriert werden. Diese werden von Log-Servern verwaltet. Nur öffentlich registrierte Zertifikate sind auch gültig. Es soll dabei insbesondere unmöglich sein, Zertifikate nachträglich aus dem Log zu entfernen oder welche einzufügen. Wenn eine Zertifizierungsstelle nun böswillig ein Zertifikat ausstellt, welches etwa zur Überwachung von Nutzern eingesetzt wird, lässt sich dies zwar nicht direkt verhindern, es lässt sich jedoch auch nicht geheim halten.

Das Konzept der Certificate Transparency mit einem öffentlich einsehbaren Log hat gewisse Ähnlichkeiten mit einem früheren Vorschlag der Electronic Frontier Foundation namens Sovereign Keys, der jedoch nie umgesetzt wurde.


eye home zur Startseite
Thaodan 27. Sep 2013

So weit ich weiß kann man die Standard Keybinds nicht überschreiben, deswegen gibt leider...

mirko_drechsel 27. Sep 2013

... für den Endnutzer, sondern nur eine weitere Runde im Wettrüsten. Kommt natürlich...

dura 27. Sep 2013

Die Extension Certificate Patrol existiert schon lange unter Firefox und kann bei...

strx 27. Sep 2013

das hat die alte Version von opera 12.16 schon seit über einem Jahr

Kommentieren



Anzeige

  1. Software Development Engineer C++ (m/w) Low Frequency Solver Technology
    CST - Computer Simulation Technology AG, Darmstadt
  2. Komponentenverantwortliche/r für Windowsserver
    Landeshauptstadt München, München
  3. Product and Media Data Expert (m/w)
    Robert Bosch GmbH, Leinfelden-Echterdingen
  4. Leitung IT-Prozesse / Anwendungen (m/w)
    ERDINGER Weißbräu, Erding

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Kupferkabel

    M-net setzt im Kupfernetz schnelles G.fast ein

  2. Facebook

    EuGH könnte Datentransfer in die USA endgültig stoppen

  3. Prozessoren

    Intel soll in Deutschland Abbau von 350 Stellen planen

  4. CCIX

    Ein Interconnect für alle

  5. Service

    Telekom-Chef kündigt Techniker-Termine am Samstag an

  6. Ausstieg

    Massenentlassungen in Microsofts Smartphone-Sparte

  7. Verbot von Geoblocking

    Brüssel will europäischen Online-Handel ankurbeln

  8. Konkurrenz zu DJI

    Xiaomi mit Kampfpreis für Mi-Drohne

  9. Security-Studie

    Mit Schokolade zum Passwort

  10. Lenovo

    Moto G4 kann doch mit mehr Speicher bestellt werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xiaomi Mi5 im Test: Das fast perfekte Top-Smartphone
Xiaomi Mi5 im Test
Das fast perfekte Top-Smartphone
  1. YI 4K Xiaomi greift mit 4K-Actionkamera GoPro an

Hyperloop Global Challenge: Jeder will den Rohrpostzug
Hyperloop Global Challenge
Jeder will den Rohrpostzug
  1. Hyperloop One Der Hyperloop fährt - wenn auch nur kurz
  2. Inductrack Hyperloop schwebt ohne Strom
  3. Hyperloop Die Slowakei will den Rohrpostzug

Doom im Test: Die beste blöde Ballerorgie
Doom im Test
Die beste blöde Ballerorgie
  1. id Software Doom wird Vulkan unterstützen
  2. Id Software PC-Spieler müssen 45 GByte von Steam laden
  3. id Software Dauertod in Doom

  1. Re: Frage nach dem Nutzernamen?

    Niantic | 18:47

  2. Re: Falschmeldung?

    genussge | 18:43

  3. Re: Danke amazon! Danke netflix! Danke maxdome!

    css_profit | 18:43

  4. Re: Ist denen ihr Produkt egal?

    pndrgst | 18:43

  5. Re: warum soll die cpu 100w nicht ueberschreiten

    ms (Golem.de) | 18:42


  1. 18:48

  2. 17:49

  3. 17:32

  4. 16:54

  5. 16:41

  6. 15:47

  7. 15:45

  8. 15:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel