Abo
  • Services:
Anzeige
Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen.
Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen. (Bild: Certificate Transparency / Google)

Unentdeckter Angriff fast unmöglich

Sollte ein Angreifer versuchen, unberechtigterweise ein Zertifikat auszustellen und dabei unentdeckt bleiben, sind die Hürden mit Certificate Transparency deutlich größer als bisher. Der Angreifer müsste zunächst die volle Kontrolle über den Zertifikatsausstellung erlangen. Eine Sicherheitslücke, die ihm nur erlaubt, ein Zertifikat für eine fremde Domain auszustellen, würde möglicherweise weiterhin zu einem Logvorgang führen und das Zertifikat wäre öffentlich einsehbar. Weiterhin muss der Angreifer verhindern, dass der Browser des Opfers mit den Logs kommuniziert und die Gültigkeit der SCTs prüft.

Anzeige

Selbst für diesen Fall hat Certificate Transparency ein Konzept vorgesehen, das eine Aufdeckung des Angriffs ermöglichen soll: Das sogenannte Gossip-Protokoll. Ein Browser, der die Logs gerade nicht erreichen kann, soll diesen Vorfall über möglichst viele verschiedene Kanäle verbreiten. Das könnten etwa Verbindungen zu anderen Webseiten sein. Um das Gossip-Protokoll gab es bereits viele Diskussionen, die Details sind noch nicht ausgearbeitet. Bislang existiert es nur als Entwurf.

Domainnamen sind öffentlich

Ein wichtiger Aspekt von Certificate Transparency ist, dass künftig alle Zertifikate samt Inhalt öffentlich sind. Das dürfte überwiegend Vorteile haben, aber es kann auch zu unerwünschten Nebeneffekten führen. Ein Webseitenbetreiber könnte etwa auf die Idee kommen, Inhalte unter einer geheimen Subdomain abzulegen. Wird für diese Subdomain ein Zertifikat ausgestellt, dann ist die Subdomain automatisch nicht mehr geheim. Ein ähnliches Problem könnte auftreten, wenn jemand eine Domain neu registriert und davon ausgeht, dass diese bisher niemandem bekannt ist und dort eine vorläufige, nicht für die Öffentlichkeit gedachte Webseite liegt.

Bereits jetzt könnte es zu derartigen Missverständnissen kommen. So beantragen viele Provider inzwischen automatisch Zertifikate über Let's Encrypt - und Let's Encrypt hat von Anfang an alle Zertifikate in öffentliche Logs eingetragen.

Eine Möglichkeit, die bei Subdomains Abhilfe schafft, sind Wildcard-Zertifikate. So kann ein Domaininhaber ein Zertifikat für *.example.org ausstellen lassen. Wildcard-Zertifikate sind üblicherweise deutlich teurer. Es gibt bislang keinen Anbieter, der diese kostenlos ausstellt.

Certificate Transparency sieht auch vor, dass Zertifikate geloggt werden, bei denen ein Teil des Domainnamens nicht sichtbar ist, sogenannte Redacted Certificates. Das geloggte Zertifikat würde dann einen Eintrag der Form ?.example.org enthalten, während das echte Zertifikat die korrekte Subdomain enthält. Dieses Feature wurde auf Wunsch vieler Zertifizierungsstellen eingeführt. Allerdings konnte man sich bisher nicht über eine genaue Vorgehensweise einigen, so dass Chrome diese Redacted Certificates bislang nicht akzeptiert. Trotzdem hatte Symantec bereits entsprechende Zertifikate an Kunden verkauft, was zu unerwarteten Fehlermeldungen führte.

 Nichts unter den Tisch kehrenFazit: ein großer Schritt für mehr Sicherheit bei TLS 

eye home zur Startseite
My1 30. Okt 2016

naja dass google CT für symantec gefordert hatte vor langem war ne gute Idee da bei denen...

bjs 26. Okt 2016

browser akzeptieren zertifikate, die in keinem log stehen nicht mehr. das log kann von...

Bachsau 26. Okt 2016

Ich seh es schlichtweg nicht ein mir meine Bandbreite und meine Lebenszeit von Werbung...

Bachsau 26. Okt 2016

Nicht Blockchain, aber Keychain. Die Technologie dafür haben wir bereits, mit DNSsec und...

logged_in 26. Okt 2016

Ehrlich? Keine Nachrichten gelesen? Du weißt ja, was passiert, wenn die Telekom...



Anzeige

Stellenmarkt
  1. Dataport - Anstalt des öffentlichen Rechts, Altenholz / Kiel
  2. Medion AG, Essen
  3. Comline AG, Dortmund
  4. Birkenstock GmbH & Co. KG Services, Neustadt (Wied)


Anzeige
Spiele-Angebote
  1. 14,99€
  2. 33,99€ - Release 29.08.
  3. 47,99€

Folgen Sie uns
       


  1. Umweltbundesamt

    Software-Updates für Diesel reichen nicht

  2. Acer Nitro 5 Spin

    Auf dem Gaming-Convertible spielen und zeichnen

  3. Galaxy Note 8 im Hands on

    Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

  4. Microsoft

    Git-Umzug von Windows-Team abgeschlossen

  5. Play Store

    Google entfernt 500 Android-Apps mit 100 Millionen Downloads

  6. DreamHost

    US-Regierung will nun doch keine Daten von Trump-Gegnern

  7. Project Brainwave

    Microsoft beschleunigt KI-Technik mit Cloud-FPGAs

  8. Microsoft

    Im Windows Store gibt es viele illegale Streaming-Apps

  9. Alpha-One

    Lamborghini-Smartphone für über 2.000 Euro vorgestellt

  10. Wireless-AC 9560

    Intel packt WLAN in den Prozessor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Ausweis: Prepaid-Registrierung bislang nicht konsequent umgesetzt
Ausweis
Prepaid-Registrierung bislang nicht konsequent umgesetzt
  1. 10 GBit/s Erste 5G-Endgeräte sind noch einen Kubikmeter groß
  2. Verbraucherzentrale Datenlimits bei EU-Roaming wären vermeidbar
  3. Internet Anbieter umgehen Wegfall der EU-Roaming-Gebühren

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

  1. Re: Hier weden Themen vermischt

    decaflon | 01:03

  2. Re: GIF

    AliKarimi2 | 01:01

  3. Re: Umweltpremie für Touareg - ein Witz

    plutoniumsulfat | 00:59

  4. Re: Stickoxide....

    Sharra | 00:58

  5. Heuchelei

    MoonShade | 00:43


  1. 17:51

  2. 17:08

  3. 17:00

  4. 16:55

  5. 16:38

  6. 16:08

  7. 15:54

  8. 14:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel