Security: Google-Trick soll SSL wieder sicher machen

Entwickler von Google schlagen einen einfachen Mechanismus vor, um Browserzertifikate vor Diebstahl zu schützen: Der Browser soll bei jeder SSL-Verbindung nachsehen, ob das Zertifikat noch gilt.

Artikel veröffentlicht am ,
Neuer Vorschlag für SSL
Neuer Vorschlag für SSL (Bild: Karen Bleier/AFP/Getty Images)

Es ist so einfach gedacht, wie es klingt: Wenn ein Browser ein Zertifikat für eine HTTPS-Verbindung erhält, soll das Programm nachsehen, ob dieses Zertifikat noch gilt. Das ist bisher nicht immer der Fall, ein Zertifikat kann wie in einem Fall der vielen Diebstähle der letzten Monate nur als ganzes zurückgerufen werden. Das bekommt ein nicht aktualisierter Browser aber nicht mit.

Stellenmarkt
  1. Senior (Lead) QA Engineer
    BAADER, Lübeck, Hamburg
  2. System Engineer (m/w/d) KDO-Cloud-Arbeitsplatz
    KDO Service GmbH, Oldenburg
Detailsuche

Der Mechanismus, den die Google-Forscher Ben Laurie und Adam Langley vorschlagen (PDF), soll das ändern. Bei jedem Aufruf einer SSL-Verbindung soll der Browser über das Internet in einer Liste nachsehen, ob das Zertifikat zur aufgerufenen Webseite gehört. Das würde verhindern, dass ein gestohlenes Zertifikat eines großen Anbieters beispielsweise zu betrügerischen Zwecken eingesetzt wird.

Die Listen sollen von Firmen gepflegt werden - konkrete Unternehmen schlagen die Google-Mitarbeiter dafür noch nicht vor. Damit die Tabellen nicht selbst gefälscht werden, sollen sie mit Merkle-Signaturen versehen werden. Dieses nach dem US-Wissenschaftler Ralph Merkle benannte Verfahren sieht eine Baumstruktur von verketteten Signaturen vor, die mit öffentlichen (PKI) Schlüsseln und Einmalschlüsseln geschützt wird.

Wie die praktische Umsetzung der Idee erfolgen soll, lassen Laurie und Langley bewusst offen. Sie drängen aber darauf, dass ein neues Verfahren die Verwendung von SSL selbst nicht verändern und auch abwärtskompatibel sein soll. Zurückgerufene Zertifikate würden so auch veralteten Browsern gar nicht mehr gezeigt, weil die ungültigen Signaturen schneller aus dem Netz verschwinden könnten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


YoungManKlaus 05. Dez 2011

naja, da kann dein konzept konsequent sein wie es will, wenn dann der implementierende...

benji83 03. Dez 2011

Der Trick beim Zertifikat ist die dritte Instanz die behauptet das der an den Browser...

Kugelfisch_dergln 03. Dez 2011

Lass ihn doch, er überweist dann halt von der russischen Bank an ein russisches Konto...

Sharra 03. Dez 2011

Ich krieg heute auch schon eine Meldung, wenn beim Zertifikat was faul ist, und kann...



Aktuell auf der Startseite von Golem.de
Einsparverordnungen
So sollen Verwaltung, Bürger und Firmen Energie sparen

Reduzierte Raumtemperaturen und ungeheizte Swimmingpools: Die Regierung fordert eine "nationale Kraftanstrengung" wegen des Gasmangels.

Einsparverordnungen: So sollen Verwaltung, Bürger und Firmen Energie sparen
Artikel
  1. Bildverkleinern in C#: Eine Windows-App zur Verkleinerung von Bilddateien
    Bildverkleinern in C#
    Eine Windows-App zur Verkleinerung von Bilddateien

    Wir zeigen mit Visual Studio, wie Drag-&-Drop funktioniert, klären, ob unter Windows runde Fenster möglich sind, und prüfen, wie aufwendig eine mehrsprachige Bedienungsoberfläche ist (ziemlich).
    Eine Anleitung von Michael Bröde

  2. Web Components mit StencilJS: Mehr Klarheit im Frontend
    Web Components mit StencilJS
    Mehr Klarheit im Frontend

    Je mehr UI/UX in Anwendungen vorkommt, desto mehr Unordnung gibt es im Frontend. StencilJS zeigt, wie man verschiedene Frameworks mit Web Components zusammenbringt.
    Eine Anleitung von Martin Reinhardt

  3. Geheimgespräche: Apple wollte angeblich Anteil an Facebooks Werbeeinnahmen
    Geheimgespräche
    Apple wollte angeblich Anteil an Facebooks Werbeeinnahmen

    Apples höherer Datenschutz macht Facebook inzwischen das Leben schwer. Zuvor soll es geheime Gespräche über eine Umsatzbeteiligung gegeben haben.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG 38WN95C-W (UWQHD+, 144 Hz) 933,35€ • Sharkoon Light² 180 22,99€ • HyperX Cloud Flight 44€ • BenQ Mobiuz EX3410R 499€ • MindStar (u. a. AMD Ryzen 5 5600X 169€, Intel Core i5-12400F 179€ und XFX RX 6800 XT 699€) • Weekend Sale bei Alternate (u. a. AKRacing Master PRO 353,99€) [Werbung]
    •  /