Nichts unter den Tisch kehren

Der Zweck des gesamten Systems ist es, mehr Transparenz in die Ausstellung von Zertifikaten zu bringen. Immer wieder sorgen Zertifizierungsstellen für Negativschlagzeilen, weil sie Regeln nicht beachten oder aufgrund von Fehlern oder Sicherheitslücken Zertifikate unberechtigterweise ausstellen. Zuletzt häuften sich die Vorfälle bei der chinesischen Zertifizierungsstelle Wosign, so dass Mozilla letztendlich entschied, Wosign aus dem Browser zu entfernen. Auch Comodo musste in letzter Zeit mehrfach über Sicherheitslücken bei der Zertifikatsausstellung berichten.

Stellenmarkt
  1. Software Product Owner Mechatronic Chassis Systems (m/w/d)
    Schaeffler Technologies AG & Co. KG, Herzogenaurach
  2. Head of Software Development CDE (m/w/d)
    thinkproject Deutschland GmbH, Berlin
Detailsuche

Der große Vorteil von Certificate Transparency: Was auch immer die Zertifizierungsstellen machen, es ist nahezu unmöglich, etwas zu vertuschen. Einen großen Erfolg konnte Certificate Transparency bereits verbuchen: Im September 2015 hatte Symantec unberechtigterweise mehrere EV-Zertifikate testweise ausgestellt, einige davon für Google-eigene Domains. Symantec versuchte zunächst, das gesamte Ausmaß des Fehlers zu vertuschen. Vergeblich, denn alle fehlerhaft ausgestellten Zertifikate waren bereits in Googles Logservern vermerkt.

Doch nicht nur Fehlverhalten von Zertifizierungsstellen kann mit Certificate Transparency aufgedeckt werden. Das Sicherheitsteam von Facebook hatte von einem solchen Vorfall berichtet. Bei einem Check der Logs fiel auf, dass ein Zertifikat für eine Subdomain von fb.com ausgestellt wurde, von dem das Sicherheitsteam nichts wusste. Die Zertifikate wurden von einer anderen Abteilung von Facebook beantragt, allerdings hatte diese das Sicherheitsteam nicht - wie eigentlich vorgesehen - darüber informiert. Certificate Transparency half also dabei, eine interne Verletzung der Sicherheitspolicy von Facebook aufzudecken.

Unberechtigte Zertifikate entdecken

Für Betreiber von Webseiten bedeutet Certificate Transparency, dass sie ein mächtiges Tool bekommen haben, um unberechtigte Zertifikate zu entdecken. Empfehlenswert ist es, dass Webseitenbetreiber selbst gelegentlich die Logs prüfen und nach Zertifikaten Ausschau halten, die sie selbst nicht beantragt haben. Am einfachsten geht das über das bereits erwähnte Webinterface. Allerdings gilt hierbei natürlich, dass der Betreiber des Webinterfaces theoretisch falsche Daten ausgeben könnte. Wer absolut auf Nummer sicher gehen will, sollte die Daten der Logs selber auslesen und kryptographisch prüfen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Certificate Transparency: Betrug mit TLS-Zertifikaten wird fast unmöglichUnentdeckter Angriff fast unmöglich 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Aktuell auf der Startseite von Golem.de
Neues Betriebssystem von Microsoft
Wir probieren Windows 11 aus

Windows 11 ist bereits im Umlauf. Wir haben die Vorabversion ausprobiert und ein schickes OS durchstöbert. Im Kern ist es aber Windows 10.
Ein Hands-on von Oliver Nickel

Neues Betriebssystem von Microsoft: Wir probieren Windows 11 aus
Artikel
  1. Niedrige Inzidenzen: Homeoffice-Pflicht soll am 30. Juni enden
    Niedrige Inzidenzen
    Homeoffice-Pflicht soll am 30. Juni enden

    Die allgemeine Pflicht zum Homeoffice soll Ende des Monats fallen. Coronatests sollen aber weiterhin in Betrieben angeboten werden.

  2. Nach Juni 2022: Europäische Union will freies Roaming verlängern
    Nach Juni 2022
    Europäische Union will freies Roaming verlängern

    Die Regelung vom Juni 2017 soll verlängert und verbessert werden. Ein Ende von 'Roam like at home' wäre undenkbar.

  3. Websicherheit: Wie KenFM von Anonymous gehackt wurde
    Websicherheit
    Wie KenFM von Anonymous gehackt wurde

    Die Webseite AnonLeaks berichtet, wie das Defacement von KenFM ablief: durch abrufbare Backupdaten und das Wordpress-Plugin Duplicator Pro.
    Von Hanno Böck

My1 30. Okt 2016

naja dass google CT für symantec gefordert hatte vor langem war ne gute Idee da bei denen...

Anonymer Nutzer 26. Okt 2016

browser akzeptieren zertifikate, die in keinem log stehen nicht mehr. das log kann von...

Bachsau 26. Okt 2016

Ich seh es schlichtweg nicht ein mir meine Bandbreite und meine Lebenszeit von Werbung...

Bachsau 26. Okt 2016

Nicht Blockchain, aber Keychain. Die Technologie dafür haben wir bereits, mit DNSsec und...

logged_in 26. Okt 2016

Ehrlich? Keine Nachrichten gelesen? Du weißt ja, was passiert, wenn die Telekom...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Saturn Super Sale (u. a. Samsung 65" QLED (2021) 1.294€) • MSI 27" FHD 144Hz 269€ • Razer Naga Pro Gaming-Maus 119,99€ • Apple iPad Pro 12,9" 256GB 909€ [Werbung]
    •  /