Certificate Transparency: Alle TLS-Zertifikate sind jetzt geloggt

2018 führte Google eine Pflicht für das System Certificate Transparency ein, jetzt sind alle zuvor ausgestellten TLS-Zertifikate abgelaufen.

Artikel veröffentlicht am ,
Früher lief bei der Ausstellung von Webseiten-Zertifikaten viel schief, das Certificate-Transparency-System sorgt dafür, dass viele Probleme inzwischen frühzeitig erkannt werden.
Früher lief bei der Ausstellung von Webseiten-Zertifikaten viel schief, das Certificate-Transparency-System sorgt dafür, dass viele Probleme inzwischen frühzeitig erkannt werden. (Bild: Petr Smerkl/Wikimedia Commons/CC-BY-SA 3.0)

Alle von gängigen Browsern akzeptierten TLS-Zertifikate sind ab dem 1. Juni 2021 in den Logs des Certificate-Transparency-Systems eingetragen. Der Grund: Google verlangte seit einiger Zeit, dass alle neu ausgestellten Zertifikate mit Certificate Transparency kompatibel sind - und alle älteren Zertifikate sind jetzt abgelaufen.

Stellenmarkt
  1. Projektmanager für Prozessstandards & Digitale Produktion (w/m/d)
    Pro Projekte-GmbH & Co. KG, Düsseldorf
  2. Doktorand (m/w/d) Nachhaltige Fertigungsregelung - simulationsbasiert mit digitalem Zwilling ... (m/w/d)
    Technische Hochschule Ingolstadt, Ingolstadt
Detailsuche

Certificate Transparency entstand als Reaktion auf eine Vielzahl von Vorfällen, bei denen TLS-Zertifizierungsstellen unberechtigterweise Zertifikate ausstellten. Die Grundidee ist simpel: Alle Zertifikate werden in öffentlich einsehbare Logs eingetragen.

Der Effekt: Jeder kann die dort eingetragenen Zertifikate prüfen und nach möglichen Problemen suchen. Inhaber von Webseiten können beispielsweise prüfen, ob für ihre Domains ihnen unbekannte Zertifikate ausgestellt wurden.

Suchmaschine für Zertifikate hilft beim Aufdecken von Problemen

Inzwischen sind zahlreiche Services entstanden, die Certificate Transparency in verschiedener Form nutzen. Ein Beispiel dafür ist die Zertifikatssuchmaschine crt.sh, die von der Firma Sectigo betrieben wird.

Golem Karrierewelt
  1. Adobe Premiere Pro Grundkurs: virtueller Zwei-Tage-Workshop
    02./03.08.2022, Virtuell
  2. Blender Grundkurs: virtueller Drei-Tage-Workshop
    06.-08.09.2022, Virtuell
Weitere IT-Trainings

Webseiten können auf verschiedene Arten gegenüber Browsern belegen, dass das verwendete Zertifikat geloggt wurde. Die gängigste Methode ist, eine digital unterschriebene Bestätigung des Logs direkt ins Zertifikat einzubetten. Dafür wird von der Zertifizierungsstelle ein Vorab-Zertifikat an das Log geschickt.

Seit der Einführung wurden mit Hilfe von Certificate Transparency in einer Vielzahl von Fällen Probleme von Zertifizierungsstellen aufgedeckt. Der bislang spektakulärste Fall betraf die Firma Symantec.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Symantec stolperte über Certificate Transparency

So wurde 2015 und 2017 entdeckt, dass die Firma Symantec - damals eine der größten Zertifizierungsstellen - mehrfach Testzertifikate für fremde Domains ausgestellt hatte. Die Vorfälle um Symantec führten letztendlich dazu, dass deren Root-Zertifikate aus den Browsern entfernt wurden. Symantec verkaufte das Zertifikatsgeschäft daraufhin.

Anfangs war Certificate Transparency nur für sogenannte Extended-Validation-Zertifikate verpflichtend. Seit Mai 2018 verlangt Google jedoch, dass alle neuen Zertifikate das System unterstützen müssen, wenn sie vom Chrome-Browser akzeptiert werden wollen.

Bis März 2018 wiederum war es erlaubt, Zertifikate mit einer Laufzeit von 39 Monaten auszustellen. Daraus ergibt sich, dass die letzten Zertifikate, die vor der Log-Verpflichtung ausgestellt wurden, nun abgelaufen sind. Browserhersteller, Nutzer und IT-Sicherheitsforscher können daher davon ausgehen, dass alle Zertifikate mit Certificate Transparency kompatibel sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


negecy 02. Jun 2021

Das würde erfordern, weiter zu denken. Das liegt den Federführenden solcher Lösungen...

mcnesium 02. Jun 2021

Vielen Dank fürs Reparieren und Bitte um Verzeihung für den Tonfall. War ein harter...



Aktuell auf der Startseite von Golem.de
Wissenschaft
LHC hat drei neue exotische Teilchen entdeckt

Der sogenannte Teilchenzoo der Physik ist noch größer geworden. Die Wissenschaft hofft auf Bestätigung der Modelle zu deren internen Aufbau.

Wissenschaft: LHC hat drei neue exotische Teilchen entdeckt
Artikel
  1. Superior Continuous Torque: E-Motor von Mahle für Dauerbetrieb unter Stress
    Superior Continuous Torque
    E-Motor von Mahle für Dauerbetrieb unter Stress

    Mahle hat einen neuen Auto-Elektromotor entwickelt, der unbegrenzt lange unter hoher Last betrieben werden kann. Dies wird durch ein neues Kühlkonzept im Motor erreicht.

  2. Security: BSI beginnt Zertifizierung für 5G-Komponenten
    Security
    BSI beginnt Zertifizierung für 5G-Komponenten

    Eine schnelle und zuverlässige IT-Sicherheitsaussage für die geprüften Produkte, das verspricht das BSI. Doch welche Produkte sind betroffen?

  3. VW.OS: VW-Software soll einfach updatefähig und bezahlbar sein
    VW.OS
    VW-Software soll "einfach updatefähig" und bezahlbar sein

    Mit seiner Softwaresparte Cariad will VW ein einheitliches System mit vereinfachter Architektur erstellen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • HP HyperX Gaming-Headset -40% • Corsair Wakü 234,90€ • Samsung Galaxy S20 128GB -36% • Audible -70% • MSI RTX 3080 12GB günstig wie nie: 948€ • AMD Ryzen 7 günstig wie nie: 259€ • Der beste 2.000€-Gaming-PC • CM 34" UWQHD 144 Hz günstig wie nie: 467,85€ [Werbung]
    •  /