Certificate Transparency: Alle TLS-Zertifikate sind jetzt geloggt

2018 führte Google eine Pflicht für das System Certificate Transparency ein, jetzt sind alle zuvor ausgestellten TLS-Zertifikate abgelaufen.

Artikel veröffentlicht am ,
Früher lief bei der Ausstellung von Webseiten-Zertifikaten viel schief, das Certificate-Transparency-System sorgt dafür, dass viele Probleme inzwischen frühzeitig erkannt werden.
Früher lief bei der Ausstellung von Webseiten-Zertifikaten viel schief, das Certificate-Transparency-System sorgt dafür, dass viele Probleme inzwischen frühzeitig erkannt werden. (Bild: Petr Smerkl/Wikimedia Commons/CC-BY-SA 3.0)

Alle von gängigen Browsern akzeptierten TLS-Zertifikate sind ab dem 1. Juni 2021 in den Logs des Certificate-Transparency-Systems eingetragen. Der Grund: Google verlangte seit einiger Zeit, dass alle neu ausgestellten Zertifikate mit Certificate Transparency kompatibel sind - und alle älteren Zertifikate sind jetzt abgelaufen.

Certificate Transparency entstand als Reaktion auf eine Vielzahl von Vorfällen, bei denen TLS-Zertifizierungsstellen unberechtigterweise Zertifikate ausstellten. Die Grundidee ist simpel: Alle Zertifikate werden in öffentlich einsehbare Logs eingetragen.

Der Effekt: Jeder kann die dort eingetragenen Zertifikate prüfen und nach möglichen Problemen suchen. Inhaber von Webseiten können beispielsweise prüfen, ob für ihre Domains ihnen unbekannte Zertifikate ausgestellt wurden.

Suchmaschine für Zertifikate hilft beim Aufdecken von Problemen

Inzwischen sind zahlreiche Services entstanden, die Certificate Transparency in verschiedener Form nutzen. Ein Beispiel dafür ist die Zertifikatssuchmaschine crt.sh, die von der Firma Sectigo betrieben wird.

Webseiten können auf verschiedene Arten gegenüber Browsern belegen, dass das verwendete Zertifikat geloggt wurde. Die gängigste Methode ist, eine digital unterschriebene Bestätigung des Logs direkt ins Zertifikat einzubetten. Dafür wird von der Zertifizierungsstelle ein Vorab-Zertifikat an das Log geschickt.

Seit der Einführung wurden mit Hilfe von Certificate Transparency in einer Vielzahl von Fällen Probleme von Zertifizierungsstellen aufgedeckt. Der bislang spektakulärste Fall betraf die Firma Symantec.

Symantec stolperte über Certificate Transparency

So wurde 2015 und 2017 entdeckt, dass die Firma Symantec - damals eine der größten Zertifizierungsstellen - mehrfach Testzertifikate für fremde Domains ausgestellt hatte. Die Vorfälle um Symantec führten letztendlich dazu, dass deren Root-Zertifikate aus den Browsern entfernt wurden. Symantec verkaufte das Zertifikatsgeschäft daraufhin.

Anfangs war Certificate Transparency nur für sogenannte Extended-Validation-Zertifikate verpflichtend. Seit Mai 2018 verlangt Google jedoch, dass alle neuen Zertifikate das System unterstützen müssen, wenn sie vom Chrome-Browser akzeptiert werden wollen.

Bis März 2018 wiederum war es erlaubt, Zertifikate mit einer Laufzeit von 39 Monaten auszustellen. Daraus ergibt sich, dass die letzten Zertifikate, die vor der Log-Verpflichtung ausgestellt wurden, nun abgelaufen sind. Browserhersteller, Nutzer und IT-Sicherheitsforscher können daher davon ausgehen, dass alle Zertifikate mit Certificate Transparency kompatibel sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Star Wars
Holiday Special jetzt in 4K mit 60 fps

Eine bessere Story bekommt der legendär schlechte Film dadurch leider nicht. Bis heute lieben ihn einige Fans aber vor allem wegen seiner Absurdität.

Star Wars: Holiday Special jetzt in 4K mit 60 fps
Artikel
  1. Lohn und Gehalt: OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr
    Lohn und Gehalt
    OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr

    Die Firma hinter Chat-GPT zahlt im Vergleich zu Unternehmen wie Nvidia besonders gut. Erfahrene Forscher und Entwickler auf dem Gebiet sind Mangelware.

  2. Software-Probleme: Elektrischer Chevy Blazer mit Verkaufsstopp belegt
    Software-Probleme
    Elektrischer Chevy Blazer mit Verkaufsstopp belegt

    Chevrolet hat einen Verkaufsstopp für sein neues Elektro-SUV Blazer verhängt, weil die Besitzer zahlreiche Softwareprobleme gemeldet haben.

  3. USA: Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu
    USA
    Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu

    Das US-Solarunternehmen iSun und der deutschen Agrivoltaik-Firma Next2Sun bauen in den USA eine Solaranlage mit vertikal aufgestellten Solarmodulen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Crucial P5 Plus 2 TB mit Kühlkörper 114,99€ • Crucial Pro 32 GB DDR5-5600 79,99€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • Anthem PC 0,99€ • Wochenendknaller bei MediaMarkt • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]
    •  /