Abo
  • Services:
Anzeige
Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen.
Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen. (Bild: Certificate Transparency / Google)

Unentdeckter Angriff fast unmöglich

Sollte ein Angreifer versuchen, unberechtigterweise ein Zertifikat auszustellen und dabei unentdeckt bleiben, sind die Hürden mit Certificate Transparency deutlich größer als bisher. Der Angreifer müsste zunächst die volle Kontrolle über den Zertifikatsausstellung erlangen. Eine Sicherheitslücke, die ihm nur erlaubt, ein Zertifikat für eine fremde Domain auszustellen, würde möglicherweise weiterhin zu einem Logvorgang führen und das Zertifikat wäre öffentlich einsehbar. Weiterhin muss der Angreifer verhindern, dass der Browser des Opfers mit den Logs kommuniziert und die Gültigkeit der SCTs prüft.

Anzeige

Selbst für diesen Fall hat Certificate Transparency ein Konzept vorgesehen, das eine Aufdeckung des Angriffs ermöglichen soll: Das sogenannte Gossip-Protokoll. Ein Browser, der die Logs gerade nicht erreichen kann, soll diesen Vorfall über möglichst viele verschiedene Kanäle verbreiten. Das könnten etwa Verbindungen zu anderen Webseiten sein. Um das Gossip-Protokoll gab es bereits viele Diskussionen, die Details sind noch nicht ausgearbeitet. Bislang existiert es nur als Entwurf.

Domainnamen sind öffentlich

Ein wichtiger Aspekt von Certificate Transparency ist, dass künftig alle Zertifikate samt Inhalt öffentlich sind. Das dürfte überwiegend Vorteile haben, aber es kann auch zu unerwünschten Nebeneffekten führen. Ein Webseitenbetreiber könnte etwa auf die Idee kommen, Inhalte unter einer geheimen Subdomain abzulegen. Wird für diese Subdomain ein Zertifikat ausgestellt, dann ist die Subdomain automatisch nicht mehr geheim. Ein ähnliches Problem könnte auftreten, wenn jemand eine Domain neu registriert und davon ausgeht, dass diese bisher niemandem bekannt ist und dort eine vorläufige, nicht für die Öffentlichkeit gedachte Webseite liegt.

Bereits jetzt könnte es zu derartigen Missverständnissen kommen. So beantragen viele Provider inzwischen automatisch Zertifikate über Let's Encrypt - und Let's Encrypt hat von Anfang an alle Zertifikate in öffentliche Logs eingetragen.

Eine Möglichkeit, die bei Subdomains Abhilfe schafft, sind Wildcard-Zertifikate. So kann ein Domaininhaber ein Zertifikat für *.example.org ausstellen lassen. Wildcard-Zertifikate sind üblicherweise deutlich teurer. Es gibt bislang keinen Anbieter, der diese kostenlos ausstellt.

Certificate Transparency sieht auch vor, dass Zertifikate geloggt werden, bei denen ein Teil des Domainnamens nicht sichtbar ist, sogenannte Redacted Certificates. Das geloggte Zertifikat würde dann einen Eintrag der Form ?.example.org enthalten, während das echte Zertifikat die korrekte Subdomain enthält. Dieses Feature wurde auf Wunsch vieler Zertifizierungsstellen eingeführt. Allerdings konnte man sich bisher nicht über eine genaue Vorgehensweise einigen, so dass Chrome diese Redacted Certificates bislang nicht akzeptiert. Trotzdem hatte Symantec bereits entsprechende Zertifikate an Kunden verkauft, was zu unerwarteten Fehlermeldungen führte.

 Nichts unter den Tisch kehrenFazit: ein großer Schritt für mehr Sicherheit bei TLS 

eye home zur Startseite
My1 30. Okt 2016

naja dass google CT für symantec gefordert hatte vor langem war ne gute Idee da bei denen...

bjs 26. Okt 2016

browser akzeptieren zertifikate, die in keinem log stehen nicht mehr. das log kann von...

Bachsau 26. Okt 2016

Ich seh es schlichtweg nicht ein mir meine Bandbreite und meine Lebenszeit von Werbung...

Bachsau 26. Okt 2016

Nicht Blockchain, aber Keychain. Die Technologie dafür haben wir bereits, mit DNSsec und...

logged_in 26. Okt 2016

Ehrlich? Keine Nachrichten gelesen? Du weißt ja, was passiert, wenn die Telekom...



Anzeige

Stellenmarkt
  1. Schwarz Zentrale Dienste KG, Neckarsulm
  2. Robert Bosch GmbH, Stuttgart
  3. Rohde & Schwarz GmbH & Co. KG, München
  4. Pilz GmbH & Co. KG, Ostfildern bei Stuttgart


Anzeige
Spiele-Angebote
  1. 19,49€
  2. 44,99€
  3. 22,99€

Folgen Sie uns
       


  1. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  2. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen

  3. NH-L9a-AM4 und NH-L12S

    Noctua bringt Mini-ITX-Kühler für Ryzen

  4. Wegen Lieferproblemen

    Spekulationen über Aus für Opels Elektroauto Ampera-E

  5. Minix

    Fehler in Intel ME ermöglicht Codeausführung

  6. Oracle

    Java SE 9 und Java EE 8 gehen live

  7. Störerhaftung abgeschafft

    Bundesrat stimmt für WLAN-Gesetz mit Netzsperrenanspruch

  8. Streaming

    Update für Fire TV bringt Lupenfunktion

  9. Entlassungen

    HPE wird wohl die Mitarbeiterzahl dezimieren

  10. Satellitennavigation

    Neuer Broadcom-Chip macht Ortung per Mobilgerät viel genauer



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

  1. Re: Ob das eine Steigerung ist kann man nicht...

    thinksimple | 17:06

  2. Reichweite der Änderungen des 3. TMG­ÄndG...

    sorglosinternet | 17:03

  3. Re: Wahlprogramm Die PARTEI

    Dwalinn | 16:59

  4. Normalerweise

    LiPo | 16:58

  5. Nix neues

    eeg | 16:58


  1. 16:55

  2. 16:39

  3. 16:12

  4. 15:30

  5. 15:06

  6. 14:00

  7. 13:40

  8. 13:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel