Abo
  • Services:
Anzeige
Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen.
Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen. (Bild: Certificate Transparency / Google)

Nichts unter den Tisch kehren

Der Zweck des gesamten Systems ist es, mehr Transparenz in die Ausstellung von Zertifikaten zu bringen. Immer wieder sorgen Zertifizierungsstellen für Negativschlagzeilen, weil sie Regeln nicht beachten oder aufgrund von Fehlern oder Sicherheitslücken Zertifikate unberechtigterweise ausstellen. Zuletzt häuften sich die Vorfälle bei der chinesischen Zertifizierungsstelle Wosign, so dass Mozilla letztendlich entschied, Wosign aus dem Browser zu entfernen. Auch Comodo musste in letzter Zeit mehrfach über Sicherheitslücken bei der Zertifikatsausstellung berichten.

Der große Vorteil von Certificate Transparency: Was auch immer die Zertifizierungsstellen machen, es ist nahezu unmöglich, etwas zu vertuschen. Einen großen Erfolg konnte Certificate Transparency bereits verbuchen: Im September 2015 hatte Symantec unberechtigterweise mehrere EV-Zertifikate testweise ausgestellt, einige davon für Google-eigene Domains. Symantec versuchte zunächst, das gesamte Ausmaß des Fehlers zu vertuschen. Vergeblich, denn alle fehlerhaft ausgestellten Zertifikate waren bereits in Googles Logservern vermerkt.

Anzeige

Doch nicht nur Fehlverhalten von Zertifizierungsstellen kann mit Certificate Transparency aufgedeckt werden. Das Sicherheitsteam von Facebook hatte von einem solchen Vorfall berichtet. Bei einem Check der Logs fiel auf, dass ein Zertifikat für eine Subdomain von fb.com ausgestellt wurde, von dem das Sicherheitsteam nichts wusste. Die Zertifikate wurden von einer anderen Abteilung von Facebook beantragt, allerdings hatte diese das Sicherheitsteam nicht - wie eigentlich vorgesehen - darüber informiert. Certificate Transparency half also dabei, eine interne Verletzung der Sicherheitspolicy von Facebook aufzudecken.

Unberechtigte Zertifikate entdecken

Für Betreiber von Webseiten bedeutet Certificate Transparency, dass sie ein mächtiges Tool bekommen haben, um unberechtigte Zertifikate zu entdecken. Empfehlenswert ist es, dass Webseitenbetreiber selbst gelegentlich die Logs prüfen und nach Zertifikaten Ausschau halten, die sie selbst nicht beantragt haben. Am einfachsten geht das über das bereits erwähnte Webinterface. Allerdings gilt hierbei natürlich, dass der Betreiber des Webinterfaces theoretisch falsche Daten ausgeben könnte. Wer absolut auf Nummer sicher gehen will, sollte die Daten der Logs selber auslesen und kryptographisch prüfen.

 Certificate Transparency: Betrug mit TLS-Zertifikaten wird fast unmöglichUnentdeckter Angriff fast unmöglich 

eye home zur Startseite
My1 30. Okt 2016

naja dass google CT für symantec gefordert hatte vor langem war ne gute Idee da bei denen...

bjs 26. Okt 2016

browser akzeptieren zertifikate, die in keinem log stehen nicht mehr. das log kann von...

Bachsau 26. Okt 2016

Ich seh es schlichtweg nicht ein mir meine Bandbreite und meine Lebenszeit von Werbung...

Bachsau 26. Okt 2016

Nicht Blockchain, aber Keychain. Die Technologie dafür haben wir bereits, mit DNSsec und...

logged_in 26. Okt 2016

Ehrlich? Keine Nachrichten gelesen? Du weißt ja, was passiert, wenn die Telekom...



Anzeige

Stellenmarkt
  1. Fresenius Netcare GmbH, Bad Homburg
  2. Bertrandt Technikum GmbH, Ehningen bei Stuttgart
  3. item Industrietechnik GmbH, Solingen
  4. Ratbacher GmbH, Raum Würzburg


Anzeige
Hardware-Angebote
  1. ab 436,30€

Folgen Sie uns
       


  1. Windows 10

    Microsoft will auf Zwangsupdates verzichten

  2. Brio 4K Streaming Edition

    Logitech-Kamera für Lets-Player und andere Streamer

  3. Vor Bundestagswahl

    Facebook löscht Zehntausende Spammer-Konten

  4. Bilderkennung von Google

    Erste Hinweise auf Lens in der Google-App

  5. Open Source

    Node.js-Führung zerstreitet sich über Code-of-Conduct

  6. Enigma ICO

    Kryptowährungshacker erbeuten halbe Million US-Dollar

  7. SNES Classic Mini

    Mario, Link und Samus machen den Moonwalk

  8. Bixby

    Samsungs Sprachassistent kommt auf Englisch nach Deutschland

  9. Apache-Lizenz 2.0

    OpenSSL-Lizenzwechsel führt zu Code-Entfernungen

  10. Knights Mill

    Intels Xeon Phi hat 72 Kerne und etwas Netburst



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Anschlag in Charlottesville: Nazis raus - aber nur aus PR-Gründen
Nach Anschlag in Charlottesville
Nazis raus - aber nur aus PR-Gründen
  1. Bundesinnenministerium Neues Online-Bürgerportal kostet 500 Millionen Euro
  2. EU-Transparenz EuGH bekräftigt nachträglichen Zugang zu Gerichtsakten
  3. Rücknahmepflicht Elektronikschrott wird kaum zurückgegeben

Radeon RX Vega 64 im Test: Schnell und durstig mit Potenzial
Radeon RX Vega 64 im Test
Schnell und durstig mit Potenzial
  1. Radeon RX Vega Mining-Treiber steigert MH/s deutlich
  2. Radeon RX Vega 56 im Test AMD positioniert sich in der Mitte
  3. Workstation AMD bringt Radeon Pro WX 9100

Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

  1. Re: Super Mario Kart

    Kakiss | 06:24

  2. Re: Sprache der Spiele

    Kakiss | 06:22

  3. Der Nutzer will eigentlich...

    MAD_onna | 06:20

  4. Modernes Denunziantentum

    MAD_onna | 06:17

  5. Re: Und mein Gummibandantrieb hat 800 Km Reichweite

    Michael0712 | 06:16


  1. 18:04

  2. 17:49

  3. 16:30

  4. 16:01

  5. 15:54

  6. 14:54

  7. 14:42

  8. 14:32


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel