Abo
  • Services:
Anzeige
Verbindung trotz fehlgeschlagenem Revocation-Check
Verbindung trotz fehlgeschlagenem Revocation-Check (Bild: Adam Langley)

Adam Langley: Google will bei SSL auf Online-Revocation-Checks verzichten

Verbindung trotz fehlgeschlagenem Revocation-Check
Verbindung trotz fehlgeschlagenem Revocation-Check (Bild: Adam Langley)

Adam Langley aus Googles Sicherheitsteam kündigt in seinem privaten Blog an, dass Googles Browser Chrome bei SSL künftig nicht bei der CA anfragen wird, ob ein Zertifikat zurückgezogen wurde. Das erhöhe die Sicherheit nicht und dauere dadurch unnötig lang.

Baut ein Browser eine verschlüsselte Verbindung per SSL auf, prüft er nicht nur, ob das verwendete Zertifikat gültig ist, sondern führt auch eine sogenannte Revocation-Prüfung durch. Dabei wird mit einer Anfrage an die zuständige Certificate Authority geklärt, ob diese das gültig erscheinende Zertifikat nicht längst zurückgezogen hat.

Anzeige

Auf diese Prüfung werde Googles Browser Chrome künftig verzichten, schreibt Adam Langley aus Googles Sicherheitsteam in seinem privaten Blog. Nach Ansicht von Langley bietet diese Prüfung keine zusätzliche Sicherheit: Kann ein Browser die CA nicht erreichen, was häufiger vorkommen soll als die meisten denken, baut er die Verbindung dennoch auf. Ein Angreifer, der sich ein falsches Zertifikat verschafft und Nutzer auf seine Seite gebracht hat, muss also lediglich den einmaligen Zugriff auf die CA verhindern.

Langley vergleicht dieses durchaus übliche Vorgehen mit einem Sicherheitsgurt, der im Fall eines Unfalls aufgeht. Das System funktioniert fast immer, nur nicht dann, wenn man es wirklich benötigt.

Zudem verlangsamen die Revocation-Checks den Aufbau einer verschlüsselten Verbindung, was dazu führe, dass viele Websitebetreiber lieber auf SSL verzichten. Die Verzögerung betrage im Durchschnitt rund eine Sekunde, so Langley.

Statt also die Zertifikate beim Verbindungsaufbau zu prüfen, soll Chrome künftig auf eine integrierte Liste mit zurückgezogenen Zertifikaten zurückgreifen. Diese stellt Google aus Listen zurückgezogener Zertifikate zusammen, die von den CAs veröffentlicht werden sollen. Dieser Ansatz, so Langley, biete Nutzern letztendlich einen besseren Schutz und beschleunige zudem SSL.

Die Liste der zurückgezogenen Zertifikate will Google als Browserupdate verteilen, wobei die Liste ohne Neustart des Browsers aktualisiert werden kann. Zwar könnten Angreifer auch diese Anfragen blockieren, sie müssten das aber dauerhaft tun, was schwieriger sei, als die einmalige Anfrage bei einem Revocation-Check zu unterbinden.


eye home zur Startseite
Martin F. 07. Feb 2012

Erstmal die Seite laden, parallel die CA nach Widerruf befragen und Eingaben (oder falls...

Programie 07. Feb 2012

Es muss ja nicht die CA kompromittiert sein. Ein einfaches Umbiegen der Anfrage an einen...



Anzeige

Stellenmarkt
  1. Consors Finanz, München
  2. Interhyp Gruppe, München
  3. über Nash Technologies, Böblingen
  4. Arnold & Richter Cine Technik GmbH & Co. Betriebs KG, München


Anzeige
Top-Angebote
  1. (u. a. 55EG9A7V für 899€, OLED65B7D für 2.249€ und SJ1 Soundbar für 55€)
  2. bei Alternate.de
  3. 5€

Folgen Sie uns
       


  1. Apple

    Ladestation Airpower soll im März 2018 auf den Markt kommen

  2. Radeon Software Adrenalin 18.2.3

    AMD-Treiber macht Sea of Thieves schneller

  3. Lifebook U938

    Das fast perfekte Business-Ultrabook bekommt vier Kerne

  4. Wochenrückblick

    Früher war nicht alles besser

  5. Raumfahrt

    Falsch abgebogen wegen Eingabefehler

  6. Cloud

    AWS bringt den Appstore für Serverless-Software

  7. Free-to-Play-Strategie

    Total War Arena beginnt den Betabetrieb

  8. Funkchip

    US-Grenzbeamte können Pass-Signaturen nicht prüfen

  9. Telekom-Chef

    "Sorry! Da ist mir der Gaul durchgegangen"

  10. WD20SPZX

    Auch Western Digital bringt flache 2-TByte-HDD



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Materialforschung: Stanen - ein neues Wundermaterial?
Materialforschung
Stanen - ein neues Wundermaterial?
  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

Lebensmittel-Lieferservices: Für Berufstätige auf dem Lande oft "praktisch nicht nutzbar"
Lebensmittel-Lieferservices
Für Berufstätige auf dem Lande oft "praktisch nicht nutzbar"
  1. Amazon Go Sechs weitere kassenlose Supermärkte geplant
  2. Kassenloser Supermarkt Technikfehler bei Amazon Go
  3. Amazon Go Kassenloser Supermarkt öffnet

Ryzen 5 2400G und Ryzen 3 2200G im Test: Raven Ridge rockt
Ryzen 5 2400G und Ryzen 3 2200G im Test
Raven Ridge rockt
  1. Smach Z PC-Handheld nutzt Ryzen V1000
  2. Ryzen V1000 und Epyc 3000 AMD bringt Zen-Architektur für den Embedded-Markt
  3. Raven Ridge AMD verschickt CPUs für UEFI-Update

  1. Re: An alle Schreihälse die meinen gucken reicht

    unbuntu | 17:08

  2. Re: Und in Deutschland haben wir die Telekom

    bombinho | 17:00

  3. Re: Ätzend

    thinksimple | 16:55

  4. Re: Wartbarkeit

    wo.ist.der... | 16:55

  5. Re: Aendert sich der Azimut von Start zu Start ?

    Eheran | 16:54


  1. 11:53

  2. 11:26

  3. 11:14

  4. 09:02

  5. 17:17

  6. 16:50

  7. 16:05

  8. 15:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel