Certificate Transparency: Alle TLS-Zertifikate sind jetzt geloggt

2018 führte Google eine Pflicht für das System Certificate Transparency ein, jetzt sind alle zuvor ausgestellten TLS-Zertifikate abgelaufen.

Artikel veröffentlicht am ,
Früher lief bei der Ausstellung von Webseiten-Zertifikaten viel schief, das Certificate-Transparency-System sorgt dafür, dass viele Probleme inzwischen frühzeitig erkannt werden.
Früher lief bei der Ausstellung von Webseiten-Zertifikaten viel schief, das Certificate-Transparency-System sorgt dafür, dass viele Probleme inzwischen frühzeitig erkannt werden. (Bild: Petr Smerkl/Wikimedia Commons/CC-BY-SA 3.0)

Alle von gängigen Browsern akzeptierten TLS-Zertifikate sind ab dem 1. Juni 2021 in den Logs des Certificate-Transparency-Systems eingetragen. Der Grund: Google verlangte seit einiger Zeit, dass alle neu ausgestellten Zertifikate mit Certificate Transparency kompatibel sind - und alle älteren Zertifikate sind jetzt abgelaufen.

Stellenmarkt
  1. IT Servicetechniker Security Response Support (m/w/d)
    G DATA CyberDefense AG, Bochum
  2. SAP MM Senior Prozess-Berater (m/w/x)
    über duerenhoff GmbH, Raum Hamburg
Detailsuche

Certificate Transparency entstand als Reaktion auf eine Vielzahl von Vorfällen, bei denen TLS-Zertifizierungsstellen unberechtigterweise Zertifikate ausstellten. Die Grundidee ist simpel: Alle Zertifikate werden in öffentlich einsehbare Logs eingetragen.

Der Effekt: Jeder kann die dort eingetragenen Zertifikate prüfen und nach möglichen Problemen suchen. Inhaber von Webseiten können beispielsweise prüfen, ob für ihre Domains ihnen unbekannte Zertifikate ausgestellt wurden.

Suchmaschine für Zertifikate hilft beim Aufdecken von Problemen

Inzwischen sind zahlreiche Services entstanden, die Certificate Transparency in verschiedener Form nutzen. Ein Beispiel dafür ist die Zertifikatssuchmaschine crt.sh, die von der Firma Sectigo betrieben wird.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Webseiten können auf verschiedene Arten gegenüber Browsern belegen, dass das verwendete Zertifikat geloggt wurde. Die gängigste Methode ist, eine digital unterschriebene Bestätigung des Logs direkt ins Zertifikat einzubetten. Dafür wird von der Zertifizierungsstelle ein Vorab-Zertifikat an das Log geschickt.

Seit der Einführung wurden mit Hilfe von Certificate Transparency in einer Vielzahl von Fällen Probleme von Zertifizierungsstellen aufgedeckt. Der bislang spektakulärste Fall betraf die Firma Symantec.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Symantec stolperte über Certificate Transparency

So wurde 2015 und 2017 entdeckt, dass die Firma Symantec - damals eine der größten Zertifizierungsstellen - mehrfach Testzertifikate für fremde Domains ausgestellt hatte. Die Vorfälle um Symantec führten letztendlich dazu, dass deren Root-Zertifikate aus den Browsern entfernt wurden. Symantec verkaufte das Zertifikatsgeschäft daraufhin.

Anfangs war Certificate Transparency nur für sogenannte Extended-Validation-Zertifikate verpflichtend. Seit Mai 2018 verlangt Google jedoch, dass alle neuen Zertifikate das System unterstützen müssen, wenn sie vom Chrome-Browser akzeptiert werden wollen.

Bis März 2018 wiederum war es erlaubt, Zertifikate mit einer Laufzeit von 39 Monaten auszustellen. Daraus ergibt sich, dass die letzten Zertifikate, die vor der Log-Verpflichtung ausgestellt wurden, nun abgelaufen sind. Browserhersteller, Nutzer und IT-Sicherheitsforscher können daher davon ausgehen, dass alle Zertifikate mit Certificate Transparency kompatibel sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Indiegames-Entwicklung
Was dieser Saftladen besser macht als andere

Der Saftladen in Berlin ist als Gemeinschaftsbüro für Spieleentwickler erfolgreich, während vergleichbare Angebote scheitern.
Ein Bericht von Daniel Ziegener

Indiegames-Entwicklung: Was dieser Saftladen besser macht als andere
Artikel
  1. KenFM: Ken Jebsen von Anonymous gehackt
    KenFM
    Ken Jebsen von Anonymous gehackt

    Die Aktivisten von Anonymous haben die Website des Verschwörungstheoretikers Ken Jebsen gehackt und offenbar Infos zu Spendern erbeutet.

  2. Serverprobleme: Anlaufschwierigkeiten beim digitalen Impfnachweis
    Serverprobleme
    Anlaufschwierigkeiten beim digitalen Impfnachweis

    Nach mehreren Versuchen sind wir in Berlin an einen digitalen Impfnachweis gekommen. Doch die Apotheken berichten von Serverproblemen.

  3. Geforce RTX 3000: Nvidia baut mehr Ampere-Grafikkarten auf Kosten der RTX 2060
    Geforce RTX 3000
    Nvidia baut mehr Ampere-Grafikkarten auf Kosten der RTX 2060

    Nvidia will Kapazitäten freimachen und statt Turing-Grafikkarten Geforce-RTX-3000-Varianten bauen. Das könnte zu mehr Verfügbarkeit führen.

negecy 02. Jun 2021 / Themenstart

Das würde erfordern, weiter zu denken. Das liegt den Federführenden solcher Lösungen...

mcnesium 02. Jun 2021 / Themenstart

Vielen Dank fürs Reparieren und Bitte um Verzeihung für den Tonfall. War ein harter...

Kommentieren


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense 59,99€ • Battlefield 2042 PC 53,99€ • XXL Sale bei Alternate • Rainbow Six Extraction Limited PS5 69,99€ • Sony Pulse 3D-Headset PS5 99,99€ • Snakebyte Gaming Seat Evo 149,99€ • Bethesda E3 Promo bei GP [Werbung]
    •  /