Certificate Transparency: Alle TLS-Zertifikate sind jetzt geloggt

2018 führte Google eine Pflicht für das System Certificate Transparency ein, jetzt sind alle zuvor ausgestellten TLS-Zertifikate abgelaufen.

Artikel veröffentlicht am ,
Früher lief bei der Ausstellung von Webseiten-Zertifikaten viel schief, das Certificate-Transparency-System sorgt dafür, dass viele Probleme inzwischen frühzeitig erkannt werden.
Früher lief bei der Ausstellung von Webseiten-Zertifikaten viel schief, das Certificate-Transparency-System sorgt dafür, dass viele Probleme inzwischen frühzeitig erkannt werden. (Bild: Petr Smerkl/Wikimedia Commons/CC-BY-SA 3.0)

Alle von gängigen Browsern akzeptierten TLS-Zertifikate sind ab dem 1. Juni 2021 in den Logs des Certificate-Transparency-Systems eingetragen. Der Grund: Google verlangte seit einiger Zeit, dass alle neu ausgestellten Zertifikate mit Certificate Transparency kompatibel sind - und alle älteren Zertifikate sind jetzt abgelaufen.

Stellenmarkt
  1. IT Project Manager (m/w/d)
    thinkproject Deutschland GmbH, München
  2. Expertinnen bzw. Experten Qualitätssicherung Softwareentwicklung (w/m/d)
    Statistisches Bundesamt, Wiesbaden
Detailsuche

Certificate Transparency entstand als Reaktion auf eine Vielzahl von Vorfällen, bei denen TLS-Zertifizierungsstellen unberechtigterweise Zertifikate ausstellten. Die Grundidee ist simpel: Alle Zertifikate werden in öffentlich einsehbare Logs eingetragen.

Der Effekt: Jeder kann die dort eingetragenen Zertifikate prüfen und nach möglichen Problemen suchen. Inhaber von Webseiten können beispielsweise prüfen, ob für ihre Domains ihnen unbekannte Zertifikate ausgestellt wurden.

Suchmaschine für Zertifikate hilft beim Aufdecken von Problemen

Inzwischen sind zahlreiche Services entstanden, die Certificate Transparency in verschiedener Form nutzen. Ein Beispiel dafür ist die Zertifikatssuchmaschine crt.sh, die von der Firma Sectigo betrieben wird.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Webseiten können auf verschiedene Arten gegenüber Browsern belegen, dass das verwendete Zertifikat geloggt wurde. Die gängigste Methode ist, eine digital unterschriebene Bestätigung des Logs direkt ins Zertifikat einzubetten. Dafür wird von der Zertifizierungsstelle ein Vorab-Zertifikat an das Log geschickt.

Seit der Einführung wurden mit Hilfe von Certificate Transparency in einer Vielzahl von Fällen Probleme von Zertifizierungsstellen aufgedeckt. Der bislang spektakulärste Fall betraf die Firma Symantec.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Symantec stolperte über Certificate Transparency

So wurde 2015 und 2017 entdeckt, dass die Firma Symantec - damals eine der größten Zertifizierungsstellen - mehrfach Testzertifikate für fremde Domains ausgestellt hatte. Die Vorfälle um Symantec führten letztendlich dazu, dass deren Root-Zertifikate aus den Browsern entfernt wurden. Symantec verkaufte das Zertifikatsgeschäft daraufhin.

Anfangs war Certificate Transparency nur für sogenannte Extended-Validation-Zertifikate verpflichtend. Seit Mai 2018 verlangt Google jedoch, dass alle neuen Zertifikate das System unterstützen müssen, wenn sie vom Chrome-Browser akzeptiert werden wollen.

Bis März 2018 wiederum war es erlaubt, Zertifikate mit einer Laufzeit von 39 Monaten auszustellen. Daraus ergibt sich, dass die letzten Zertifikate, die vor der Log-Verpflichtung ausgestellt wurden, nun abgelaufen sind. Browserhersteller, Nutzer und IT-Sicherheitsforscher können daher davon ausgehen, dass alle Zertifikate mit Certificate Transparency kompatibel sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ubisoft
Avatar statt Assassin's Creed

E3 2021 Als wichtigste Neuheit hat Ubisoft ein Spiel auf Basis von Avatar vorgestellt - und Assassin's Creed muss mit Valhalla in die Verlängerung.

Ubisoft: Avatar statt Assassin's Creed
Artikel
  1. Fifa, Battlefield und Co.: Der EA-Hack startete mit Cookies für 10 US-Dollar
    Fifa, Battlefield und Co.
    Der EA-Hack startete mit Cookies für 10 US-Dollar

    Die Hacking-Gruppe erklärt dem Magazin Motherboard Schritt für Schritt, wie der Hack auf EA gelang. Die primäre Fehlerquelle: der Mensch.

  2. Extraction: Rainbow Six und der Kampf gegen Außerirdische
    Extraction
    Rainbow Six und der Kampf gegen Außerirdische

    E3 2021 Es ist ein ungewöhnlicher Ableger für Siege: Ubisoft hat Rainbow Six Extraction vorgestellt, das auf den Kampf gegen KI-Aliens setzt.

  3. Onlinetickets: 17-Jähriger betrügt Bahn um 270.000 Euro
    Onlinetickets
    17-Jähriger betrügt Bahn um 270.000 Euro

    Mit illegal erworbenen Onlinetickets soll ein 17-Jähriger die Bahn um 270.000 Euro geprellt haben. Entdeckt wurde er nur durch Zufall.

negecy 02. Jun 2021 / Themenstart

Das würde erfordern, weiter zu denken. Das liegt den Federführenden solcher Lösungen...

mcnesium 02. Jun 2021 / Themenstart

Vielen Dank fürs Reparieren und Bitte um Verzeihung für den Tonfall. War ein harter...

Kommentieren


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ • Amazon: PC-Spiele reduziert (u. a. C&C: Remastered Collection 9,99€) [Werbung]
    •  /