Abo
  • Services:
Anzeige
Verbindung trotz fehlgeschlagenem Revocation-Check
Verbindung trotz fehlgeschlagenem Revocation-Check (Bild: Adam Langley)

Adam Langley: Google will bei SSL auf Online-Revocation-Checks verzichten

Verbindung trotz fehlgeschlagenem Revocation-Check
Verbindung trotz fehlgeschlagenem Revocation-Check (Bild: Adam Langley)

Adam Langley aus Googles Sicherheitsteam kündigt in seinem privaten Blog an, dass Googles Browser Chrome bei SSL künftig nicht bei der CA anfragen wird, ob ein Zertifikat zurückgezogen wurde. Das erhöhe die Sicherheit nicht und dauere dadurch unnötig lang.

Baut ein Browser eine verschlüsselte Verbindung per SSL auf, prüft er nicht nur, ob das verwendete Zertifikat gültig ist, sondern führt auch eine sogenannte Revocation-Prüfung durch. Dabei wird mit einer Anfrage an die zuständige Certificate Authority geklärt, ob diese das gültig erscheinende Zertifikat nicht längst zurückgezogen hat.

Anzeige

Auf diese Prüfung werde Googles Browser Chrome künftig verzichten, schreibt Adam Langley aus Googles Sicherheitsteam in seinem privaten Blog. Nach Ansicht von Langley bietet diese Prüfung keine zusätzliche Sicherheit: Kann ein Browser die CA nicht erreichen, was häufiger vorkommen soll als die meisten denken, baut er die Verbindung dennoch auf. Ein Angreifer, der sich ein falsches Zertifikat verschafft und Nutzer auf seine Seite gebracht hat, muss also lediglich den einmaligen Zugriff auf die CA verhindern.

Langley vergleicht dieses durchaus übliche Vorgehen mit einem Sicherheitsgurt, der im Fall eines Unfalls aufgeht. Das System funktioniert fast immer, nur nicht dann, wenn man es wirklich benötigt.

Zudem verlangsamen die Revocation-Checks den Aufbau einer verschlüsselten Verbindung, was dazu führe, dass viele Websitebetreiber lieber auf SSL verzichten. Die Verzögerung betrage im Durchschnitt rund eine Sekunde, so Langley.

Statt also die Zertifikate beim Verbindungsaufbau zu prüfen, soll Chrome künftig auf eine integrierte Liste mit zurückgezogenen Zertifikaten zurückgreifen. Diese stellt Google aus Listen zurückgezogener Zertifikate zusammen, die von den CAs veröffentlicht werden sollen. Dieser Ansatz, so Langley, biete Nutzern letztendlich einen besseren Schutz und beschleunige zudem SSL.

Die Liste der zurückgezogenen Zertifikate will Google als Browserupdate verteilen, wobei die Liste ohne Neustart des Browsers aktualisiert werden kann. Zwar könnten Angreifer auch diese Anfragen blockieren, sie müssten das aber dauerhaft tun, was schwieriger sei, als die einmalige Anfrage bei einem Revocation-Check zu unterbinden.


eye home zur Startseite
Martin F. 07. Feb 2012

Erstmal die Seite laden, parallel die CA nach Widerruf befragen und Eingaben (oder falls...

Programie 07. Feb 2012

Es muss ja nicht die CA kompromittiert sein. Ein einfaches Umbiegen der Anfrage an einen...



Anzeige

Stellenmarkt
  1. MBtech Group GmbH & Co. KGaA, Neu-Ulm, Lindau
  2. WEGMANN automotive GmbH & Co. KG, Veitshöchheim
  3. Bosch Software Innovations GmbH, Waiblingen
  4. Fresenius Medical Care Deutschland GmbH, Schweinfurt


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       


  1. Deutsche Telekom

    Weitere 39.000 Haushalte bekommen heute Vectoring

  2. Musikerkennungsdienst

    Apple erwirbt Shazam

  3. FTTH

    EWE senkt die Preise für seine Glasfaserzugänge

  4. WLAN

    Zahl der Vodafone-Hotspots steigt auf zwei Millionen

  5. Linux-Grafiktreiber

    Mesa 17.3 verbessert Vulkan- und Embedded-Treiber

  6. Gemini Lake

    Intel bringt Pentium Silver mit Gigabit-WLAN

  7. MG07ACA

    Toshiba packt neun Platter in seine erste 14-TByte-HDD

  8. Sysinternals-Werkzeug

    Microsoft stellt Procdump für Linux vor

  9. Forschungsförderung

    Medizin-Nobelpreisträger Rosbash kritisiert Trump

  10. Sicherheit

    Keylogger in HP-Notebooks gefunden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Umrüstung: Wie der Elektromotor in den Diesel-Lkw kommt
Umrüstung
Wie der Elektromotor in den Diesel-Lkw kommt
  1. Uniti One Schwedisches Unternehmen Uniti stellt erstes Elektroauto vor
  2. LEVC London bekommt Elektrotaxis mit Range Extender
  3. Vehicle-to-Grid Honda macht Elektroautos zu Stromnetz-Puffern

China: Die AAA-Bürger
China
Die AAA-Bürger
  1. Microsoft Supreme Court entscheidet über die Zukunft der Cloud

Watch Series 3 im Praxistest: So hätte Apples erste Smartwatch sein müssen
Watch Series 3 im Praxistest
So hätte Apples erste Smartwatch sein müssen
  1. Apple Watch Apple veröffentlicht WatchOS 4.2
  2. Alivecor Kardiaband Uhrenarmband für Apple Watch zeichnet EKG auf
  3. Smartwatch Die Apple Watch lieber nicht nach dem Wetter fragen

  1. Re: Alternativen?

    worsel22 | 21:58

  2. Weil...

    Kondom | 21:57

  3. Die Zwei-Minuten-Regel existiert nicht

    Kondom | 21:54

  4. Re: Intel Xeon E5-2640 mit 20 Kernen, 40 Threads...

    ldlx | 21:54

  5. Re: Habe es soeben deinstalliert

    nightmar17 | 21:52


  1. 19:10

  2. 18:55

  3. 17:21

  4. 15:57

  5. 15:20

  6. 15:00

  7. 14:46

  8. 13:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel