Certificate Transparency: Alle TLS-Zertifikate sind jetzt geloggt
2018 führte Google eine Pflicht für das System Certificate Transparency ein, jetzt sind alle zuvor ausgestellten TLS-Zertifikate abgelaufen.
Alle von gängigen Browsern akzeptierten TLS-Zertifikate sind ab dem 1. Juni 2021 in den Logs des Certificate-Transparency-Systems eingetragen. Der Grund: Google verlangte seit einiger Zeit, dass alle neu ausgestellten Zertifikate mit Certificate Transparency kompatibel sind - und alle älteren Zertifikate sind jetzt abgelaufen.
Certificate Transparency entstand als Reaktion auf eine Vielzahl von Vorfällen, bei denen TLS-Zertifizierungsstellen unberechtigterweise Zertifikate ausstellten. Die Grundidee ist simpel: Alle Zertifikate werden in öffentlich einsehbare Logs eingetragen.
Der Effekt: Jeder kann die dort eingetragenen Zertifikate prüfen und nach möglichen Problemen suchen. Inhaber von Webseiten können beispielsweise prüfen, ob für ihre Domains ihnen unbekannte Zertifikate ausgestellt wurden.
Suchmaschine für Zertifikate hilft beim Aufdecken von Problemen
Inzwischen sind zahlreiche Services entstanden, die Certificate Transparency in verschiedener Form nutzen. Ein Beispiel dafür ist die Zertifikatssuchmaschine crt.sh, die von der Firma Sectigo betrieben wird.
Webseiten können auf verschiedene Arten gegenüber Browsern belegen, dass das verwendete Zertifikat geloggt wurde. Die gängigste Methode ist, eine digital unterschriebene Bestätigung des Logs direkt ins Zertifikat einzubetten. Dafür wird von der Zertifizierungsstelle ein Vorab-Zertifikat an das Log geschickt.
Seit der Einführung wurden mit Hilfe von Certificate Transparency in einer Vielzahl von Fällen Probleme von Zertifizierungsstellen aufgedeckt. Der bislang spektakulärste Fall betraf die Firma Symantec.
Symantec stolperte über Certificate Transparency
So wurde 2015 und 2017 entdeckt, dass die Firma Symantec - damals eine der größten Zertifizierungsstellen - mehrfach Testzertifikate für fremde Domains ausgestellt hatte. Die Vorfälle um Symantec führten letztendlich dazu, dass deren Root-Zertifikate aus den Browsern entfernt wurden. Symantec verkaufte das Zertifikatsgeschäft daraufhin.
Anfangs war Certificate Transparency nur für sogenannte Extended-Validation-Zertifikate verpflichtend. Seit Mai 2018 verlangt Google jedoch, dass alle neuen Zertifikate das System unterstützen müssen, wenn sie vom Chrome-Browser akzeptiert werden wollen.
Bis März 2018 wiederum war es erlaubt, Zertifikate mit einer Laufzeit von 39 Monaten auszustellen. Daraus ergibt sich, dass die letzten Zertifikate, die vor der Log-Verpflichtung ausgestellt wurden, nun abgelaufen sind. Browserhersteller, Nutzer und IT-Sicherheitsforscher können daher davon ausgehen, dass alle Zertifikate mit Certificate Transparency kompatibel sind.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed










Vielen Dank fürs Reparieren und Bitte um Verzeihung für den Tonfall. War ein harter...