Abo
  • Services:
Anzeige
Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen.
Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen. (Bild: Certificate Transparency / Google)

Nichts unter den Tisch kehren

Der Zweck des gesamten Systems ist es, mehr Transparenz in die Ausstellung von Zertifikaten zu bringen. Immer wieder sorgen Zertifizierungsstellen für Negativschlagzeilen, weil sie Regeln nicht beachten oder aufgrund von Fehlern oder Sicherheitslücken Zertifikate unberechtigterweise ausstellen. Zuletzt häuften sich die Vorfälle bei der chinesischen Zertifizierungsstelle Wosign, so dass Mozilla letztendlich entschied, Wosign aus dem Browser zu entfernen. Auch Comodo musste in letzter Zeit mehrfach über Sicherheitslücken bei der Zertifikatsausstellung berichten.

Der große Vorteil von Certificate Transparency: Was auch immer die Zertifizierungsstellen machen, es ist nahezu unmöglich, etwas zu vertuschen. Einen großen Erfolg konnte Certificate Transparency bereits verbuchen: Im September 2015 hatte Symantec unberechtigterweise mehrere EV-Zertifikate testweise ausgestellt, einige davon für Google-eigene Domains. Symantec versuchte zunächst, das gesamte Ausmaß des Fehlers zu vertuschen. Vergeblich, denn alle fehlerhaft ausgestellten Zertifikate waren bereits in Googles Logservern vermerkt.

Anzeige

Doch nicht nur Fehlverhalten von Zertifizierungsstellen kann mit Certificate Transparency aufgedeckt werden. Das Sicherheitsteam von Facebook hatte von einem solchen Vorfall berichtet. Bei einem Check der Logs fiel auf, dass ein Zertifikat für eine Subdomain von fb.com ausgestellt wurde, von dem das Sicherheitsteam nichts wusste. Die Zertifikate wurden von einer anderen Abteilung von Facebook beantragt, allerdings hatte diese das Sicherheitsteam nicht - wie eigentlich vorgesehen - darüber informiert. Certificate Transparency half also dabei, eine interne Verletzung der Sicherheitspolicy von Facebook aufzudecken.

Unberechtigte Zertifikate entdecken

Für Betreiber von Webseiten bedeutet Certificate Transparency, dass sie ein mächtiges Tool bekommen haben, um unberechtigte Zertifikate zu entdecken. Empfehlenswert ist es, dass Webseitenbetreiber selbst gelegentlich die Logs prüfen und nach Zertifikaten Ausschau halten, die sie selbst nicht beantragt haben. Am einfachsten geht das über das bereits erwähnte Webinterface. Allerdings gilt hierbei natürlich, dass der Betreiber des Webinterfaces theoretisch falsche Daten ausgeben könnte. Wer absolut auf Nummer sicher gehen will, sollte die Daten der Logs selber auslesen und kryptographisch prüfen.

 Certificate Transparency: Betrug mit TLS-Zertifikaten wird fast unmöglichUnentdeckter Angriff fast unmöglich 

eye home zur Startseite
My1 30. Okt 2016

naja dass google CT für symantec gefordert hatte vor langem war ne gute Idee da bei denen...

bjs 26. Okt 2016

browser akzeptieren zertifikate, die in keinem log stehen nicht mehr. das log kann von...

Bachsau 26. Okt 2016

Ich seh es schlichtweg nicht ein mir meine Bandbreite und meine Lebenszeit von Werbung...

Bachsau 26. Okt 2016

Nicht Blockchain, aber Keychain. Die Technologie dafür haben wir bereits, mit DNSsec und...

logged_in 26. Okt 2016

Ehrlich? Keine Nachrichten gelesen? Du weißt ja, was passiert, wenn die Telekom...



Anzeige

Stellenmarkt
  1. ROHDE & SCHWARZ GmbH & Co. KG, München
  2. PHOENIX CONTACT GmbH & Co. KG, Blomberg
  3. operational services GmbH & Co. KG, Wolfsburg, Braunschweig
  4. ORDIX AG, Paderborn, Wiesbaden und Köln


Anzeige
Hardware-Angebote
  1. (u. a. DXRacer OH/RE9/NW für 199,90€ statt 226€ im Preisvergleich)

Folgen Sie uns
       


  1. Sonic the Hedgehog

    Sega veröffentlicht seine Spieleklassiker für Smartphones

  2. Monster Hunter World angespielt

    Dicke Dinosauriertränen in 4K

  3. Prime Reading

    Amazon startet dritte Lese-Flatrate in Deutschland

  4. Node.js

    Hälfte der NPM-Pakete durch schwache Passwörter verwundbar

  5. E-Mail

    Private Mails von Topmanagern Ziel von Phishing-Kampagne

  6. OLED

    LG entwickelt aufrollbares transparentes 77-Zoll-Display

  7. Vorratsdatenspeicherung

    Bundesnetzagentur prüft Auswirkung der OVG-Entscheidung

  8. Elektronikkonzern

    Toshiba kann Geschäftsbericht nicht vorlegen

  9. Störerhaftung

    SPD warnt vor Scheitern des WLAN-Gesetzes

  10. Ubisoft

    Michel Ancel zeigt Beyond Good and Evil 2



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mario Odyssey angespielt: Die feindliche Übernahme mit dem Schnauz
Mario Odyssey angespielt
Die feindliche Übernahme mit dem Schnauz
  1. Nintendo Firmware 3.00 bringt neue Funktionen auf die Switch
  2. Nintendo Switch Metroid Prime 4, echtes Pokémon und Rocket League kommen
  3. Arms im Test Gerade statt Aufwärtshaken

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

Stehpult ausprobiert: Aufstehen gegen Rückenschmerzen
Stehpult ausprobiert
Aufstehen gegen Rückenschmerzen
  1. Stellenmarkt Softwareentwickler haben nicht die bestbezahlten IT-Jobs
  2. Looksee Wellington Neuseeland zieht mehr IT-Experten an
  3. Jobs Deutschland kann seinen IT-Fachkräftemangel selbst lösen

  1. Re: Ist das neu?

    /mecki78 | 12:26

  2. Super

    mehrfachgesperrt | 12:26

  3. Re: Mit 10.14 sind KEXT tot

    Frotty | 12:24

  4. Re: Hey, der Drogendealer wieder...

    most | 12:23

  5. Re: Gegenangriff.

    Winchester | 12:21


  1. 12:04

  2. 12:01

  3. 11:59

  4. 11:44

  5. 11:30

  6. 11:15

  7. 10:56

  8. 10:43


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel