Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Adam Langley: Google will bei SSL auf Online-Revocation-Checks verzichten

Adam Langley aus Googles Sicherheitsteam kündigt in seinem privaten Blog an, dass Googles Browser Chrome bei SSL künftig nicht bei der CA anfragen wird, ob ein Zertifikat zurückgezogen wurde. Das erhöhe die Sicherheit nicht und dauere dadurch unnötig lang.
/ Jens Ihlenfeld
6 Kommentare News folgen (öffnet im neuen Fenster)
Verbindung trotz fehlgeschlagenem Revocation-Check (Bild: Adam Langley)
Verbindung trotz fehlgeschlagenem Revocation-Check Bild: Adam Langley

Baut ein Browser eine verschlüsselte Verbindung per SSL auf, prüft er nicht nur, ob das verwendete Zertifikat gültig ist, sondern führt auch eine sogenannte Revocation-Prüfung durch. Dabei wird mit einer Anfrage an die zuständige Certificate Authority geklärt, ob diese das gültig erscheinende Zertifikat nicht längst zurückgezogen hat.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Solution Architekt/-in (w/m/d) IT-Baden-Württemberg (BITBW), Stuttgart (öffnet im neuen Fenster)
System Engineer Linux Systeme (m/w/d) Schwarz IT, Weinsberg (öffnet im neuen Fenster)
(Senior) Cyber Security Exposures and Vulnerabilities Analyst (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)
SAP Security Architect (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)
HR Office Administrator (m/w/d) JOSEPH VÖGELE AG, Ludwigshafen am Rhein (öffnet im neuen Fenster)
Senior Java Developer (m/w/d) nexnet GmbH, Berlin (öffnet im neuen Fenster)
Duales Studium Informationstechnik 2026 (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)
Softwareentwickler / Softwareentwicklerin (m/w/d) für Anwendungsentwicklung Stiftung Elektro-Altgeräte Register, Nürnberg (öffnet im neuen Fenster)

Auf diese Prüfung werde Googles Browser Chrome künftig verzichten, schreibt Adam Langley aus Googles Sicherheitsteam in seinem privaten Blog(öffnet im neuen Fenster) . Nach Ansicht von Langley bietet diese Prüfung keine zusätzliche Sicherheit: Kann ein Browser die CA nicht erreichen, was häufiger vorkommen soll als die meisten denken, baut er die Verbindung dennoch auf. Ein Angreifer, der sich ein falsches Zertifikat verschafft und Nutzer auf seine Seite gebracht hat, muss also lediglich den einmaligen Zugriff auf die CA verhindern.

Langley vergleicht dieses durchaus übliche Vorgehen mit einem Sicherheitsgurt, der im Fall eines Unfalls aufgeht. Das System funktioniert fast immer, nur nicht dann, wenn man es wirklich benötigt.

Zudem verlangsamen die Revocation-Checks den Aufbau einer verschlüsselten Verbindung, was dazu führe, dass viele Websitebetreiber lieber auf SSL verzichten. Die Verzögerung betrage im Durchschnitt rund eine Sekunde, so Langley.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Statt also die Zertifikate beim Verbindungsaufbau zu prüfen, soll Chrome künftig auf eine integrierte Liste mit zurückgezogenen Zertifikaten zurückgreifen. Diese stellt Google aus Listen zurückgezogener Zertifikate zusammen, die von den CAs veröffentlicht werden sollen. Dieser Ansatz, so Langley, biete Nutzern letztendlich einen besseren Schutz und beschleunige zudem SSL.

Die Liste der zurückgezogenen Zertifikate will Google als Browserupdate verteilen, wobei die Liste ohne Neustart des Browsers aktualisiert werden kann. Zwar könnten Angreifer auch diese Anfragen blockieren, sie müssten das aber dauerhaft tun, was schwieriger sei, als die einmalige Anfrage bei einem Revocation-Check zu unterbinden.

Zur Startseite 6 Kommentare

Relevante Themen

SoftwareUnternehmenssoftwareSecurityVerschlüsselungDatensicherheitZertifikatTLSHTTPS