Abo
  • Services:

Nichts unter den Tisch kehren

Der Zweck des gesamten Systems ist es, mehr Transparenz in die Ausstellung von Zertifikaten zu bringen. Immer wieder sorgen Zertifizierungsstellen für Negativschlagzeilen, weil sie Regeln nicht beachten oder aufgrund von Fehlern oder Sicherheitslücken Zertifikate unberechtigterweise ausstellen. Zuletzt häuften sich die Vorfälle bei der chinesischen Zertifizierungsstelle Wosign, so dass Mozilla letztendlich entschied, Wosign aus dem Browser zu entfernen. Auch Comodo musste in letzter Zeit mehrfach über Sicherheitslücken bei der Zertifikatsausstellung berichten.

Stellenmarkt
  1. McService GmbH, München
  2. Eurowings Aviation GmbH, Köln

Der große Vorteil von Certificate Transparency: Was auch immer die Zertifizierungsstellen machen, es ist nahezu unmöglich, etwas zu vertuschen. Einen großen Erfolg konnte Certificate Transparency bereits verbuchen: Im September 2015 hatte Symantec unberechtigterweise mehrere EV-Zertifikate testweise ausgestellt, einige davon für Google-eigene Domains. Symantec versuchte zunächst, das gesamte Ausmaß des Fehlers zu vertuschen. Vergeblich, denn alle fehlerhaft ausgestellten Zertifikate waren bereits in Googles Logservern vermerkt.

Doch nicht nur Fehlverhalten von Zertifizierungsstellen kann mit Certificate Transparency aufgedeckt werden. Das Sicherheitsteam von Facebook hatte von einem solchen Vorfall berichtet. Bei einem Check der Logs fiel auf, dass ein Zertifikat für eine Subdomain von fb.com ausgestellt wurde, von dem das Sicherheitsteam nichts wusste. Die Zertifikate wurden von einer anderen Abteilung von Facebook beantragt, allerdings hatte diese das Sicherheitsteam nicht - wie eigentlich vorgesehen - darüber informiert. Certificate Transparency half also dabei, eine interne Verletzung der Sicherheitspolicy von Facebook aufzudecken.

Unberechtigte Zertifikate entdecken

Für Betreiber von Webseiten bedeutet Certificate Transparency, dass sie ein mächtiges Tool bekommen haben, um unberechtigte Zertifikate zu entdecken. Empfehlenswert ist es, dass Webseitenbetreiber selbst gelegentlich die Logs prüfen und nach Zertifikaten Ausschau halten, die sie selbst nicht beantragt haben. Am einfachsten geht das über das bereits erwähnte Webinterface. Allerdings gilt hierbei natürlich, dass der Betreiber des Webinterfaces theoretisch falsche Daten ausgeben könnte. Wer absolut auf Nummer sicher gehen will, sollte die Daten der Logs selber auslesen und kryptographisch prüfen.

 Certificate Transparency: Betrug mit TLS-Zertifikaten wird fast unmöglichUnentdeckter Angriff fast unmöglich 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie (Release 26.02.)
  2. (-70%) 8,99€
  3. 2,99€
  4. 2,49€

My1 30. Okt 2016

naja dass google CT für symantec gefordert hatte vor langem war ne gute Idee da bei denen...

Anonymer Nutzer 26. Okt 2016

browser akzeptieren zertifikate, die in keinem log stehen nicht mehr. das log kann von...

Bachsau 26. Okt 2016

Ich seh es schlichtweg nicht ein mir meine Bandbreite und meine Lebenszeit von Werbung...

Bachsau 26. Okt 2016

Nicht Blockchain, aber Keychain. Die Technologie dafür haben wir bereits, mit DNSsec und...

logged_in 26. Okt 2016

Ehrlich? Keine Nachrichten gelesen? Du weißt ja, was passiert, wenn die Telekom...


Folgen Sie uns
       


Geräuschunterdrückung Sony WH-1000 Serie im Vergleich

Sonys neuer ANC-Kopfhörer aus der WH-1000 Serie bringt eine nochmals verbesserte Geräuschunterdrückung. Wir haben das neue Modell WH-1000XM3 gegen das Vorgängermodell WH-1000XM2 antreten lassen. In leisen Umgebungen hat der WH-1000XM2 noch ein recht stark vernehmbares Grundrauschen, beim WH-1000XM3 gibt es das nicht mehr.

Geräuschunterdrückung Sony WH-1000 Serie im Vergleich Video aufrufen
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
    Google Nachtsicht im Test
    Starke Nachtaufnahmen mit dem Pixel

    Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
    Ein Test von Tobias Költzsch

    1. Pixel 3 Google patcht Probleme mit Speichermanagement
    2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
    3. Google Dem Pixel 3 XL wächst eine zweite Notch

    IT: Frauen, die programmieren und Bier trinken
    IT
    Frauen, die programmieren und Bier trinken

    Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
    Von Maja Hoock

    1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
    2. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"
    3. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp

      •  /