Abo
  • Services:
Anzeige
Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen.
Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen. (Bild: Certificate Transparency / Google)

Unentdeckter Angriff fast unmöglich

Sollte ein Angreifer versuchen, unberechtigterweise ein Zertifikat auszustellen und dabei unentdeckt bleiben, sind die Hürden mit Certificate Transparency deutlich größer als bisher. Der Angreifer müsste zunächst die volle Kontrolle über den Zertifikatsausstellung erlangen. Eine Sicherheitslücke, die ihm nur erlaubt, ein Zertifikat für eine fremde Domain auszustellen, würde möglicherweise weiterhin zu einem Logvorgang führen und das Zertifikat wäre öffentlich einsehbar. Weiterhin muss der Angreifer verhindern, dass der Browser des Opfers mit den Logs kommuniziert und die Gültigkeit der SCTs prüft.

Anzeige

Selbst für diesen Fall hat Certificate Transparency ein Konzept vorgesehen, das eine Aufdeckung des Angriffs ermöglichen soll: Das sogenannte Gossip-Protokoll. Ein Browser, der die Logs gerade nicht erreichen kann, soll diesen Vorfall über möglichst viele verschiedene Kanäle verbreiten. Das könnten etwa Verbindungen zu anderen Webseiten sein. Um das Gossip-Protokoll gab es bereits viele Diskussionen, die Details sind noch nicht ausgearbeitet. Bislang existiert es nur als Entwurf.

Domainnamen sind öffentlich

Ein wichtiger Aspekt von Certificate Transparency ist, dass künftig alle Zertifikate samt Inhalt öffentlich sind. Das dürfte überwiegend Vorteile haben, aber es kann auch zu unerwünschten Nebeneffekten führen. Ein Webseitenbetreiber könnte etwa auf die Idee kommen, Inhalte unter einer geheimen Subdomain abzulegen. Wird für diese Subdomain ein Zertifikat ausgestellt, dann ist die Subdomain automatisch nicht mehr geheim. Ein ähnliches Problem könnte auftreten, wenn jemand eine Domain neu registriert und davon ausgeht, dass diese bisher niemandem bekannt ist und dort eine vorläufige, nicht für die Öffentlichkeit gedachte Webseite liegt.

Bereits jetzt könnte es zu derartigen Missverständnissen kommen. So beantragen viele Provider inzwischen automatisch Zertifikate über Let's Encrypt - und Let's Encrypt hat von Anfang an alle Zertifikate in öffentliche Logs eingetragen.

Eine Möglichkeit, die bei Subdomains Abhilfe schafft, sind Wildcard-Zertifikate. So kann ein Domaininhaber ein Zertifikat für *.example.org ausstellen lassen. Wildcard-Zertifikate sind üblicherweise deutlich teurer. Es gibt bislang keinen Anbieter, der diese kostenlos ausstellt.

Certificate Transparency sieht auch vor, dass Zertifikate geloggt werden, bei denen ein Teil des Domainnamens nicht sichtbar ist, sogenannte Redacted Certificates. Das geloggte Zertifikat würde dann einen Eintrag der Form ?.example.org enthalten, während das echte Zertifikat die korrekte Subdomain enthält. Dieses Feature wurde auf Wunsch vieler Zertifizierungsstellen eingeführt. Allerdings konnte man sich bisher nicht über eine genaue Vorgehensweise einigen, so dass Chrome diese Redacted Certificates bislang nicht akzeptiert. Trotzdem hatte Symantec bereits entsprechende Zertifikate an Kunden verkauft, was zu unerwarteten Fehlermeldungen führte.

 Nichts unter den Tisch kehrenFazit: ein großer Schritt für mehr Sicherheit bei TLS 

eye home zur Startseite
My1 30. Okt 2016

naja dass google CT für symantec gefordert hatte vor langem war ne gute Idee da bei denen...

bjs 26. Okt 2016

browser akzeptieren zertifikate, die in keinem log stehen nicht mehr. das log kann von...

Bachsau 26. Okt 2016

Ich seh es schlichtweg nicht ein mir meine Bandbreite und meine Lebenszeit von Werbung...

Bachsau 26. Okt 2016

Nicht Blockchain, aber Keychain. Die Technologie dafür haben wir bereits, mit DNSsec und...

logged_in 26. Okt 2016

Ehrlich? Keine Nachrichten gelesen? Du weißt ja, was passiert, wenn die Telekom...



Anzeige

Stellenmarkt
  1. Daimler AG, Böblingen
  2. PHOENIX group IT GmbH, Fürth
  3. Swyx Solutions AG, Dortmund
  4. Robert Bosch GmbH, Bühl


Anzeige
Spiele-Angebote
  1. (-78%) 11,99€
  2. ab 129,99€
  3. 69,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Prozessor

    Lightroom CC 6.9 exportiert deutlich schneller

  2. Telia

    Schwedischer ISP muss Nutzerdaten herausgeben

  3. Nokia

    Deutlich höhere Datenraten durch LTE 900 möglich

  4. Messenger

    Facebook sagt "Daumen runter"

  5. Wirtschaftsministerin

    Huawei wird in Bayern Netzwerkausrüstung herstellen

  6. Overwatch

    Blizzard will bessere Beschwerden

  7. Mobilfunk

    Nokia nutzt LTE bei 600 MHz erfolgreich

  8. Ohne Flash und Silverlight

    Netflix schließt HTML5-Umzug ab

  9. Mass Effect Andromeda im Technik-Test

    Frostbite für alle Rollenspieler

  10. Hannover

    Die Sommer-Cebit wird teuer



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Airselfie im Hands on: Quadcopter statt Deppenzepter
Airselfie im Hands on
Quadcopter statt Deppenzepter
  1. Fiberglas und Magneten Wabbeliger Quadcopter übersteht Stürze
  2. Senkrechtstarter Solardrohne fliegt wie ein Harrier
  3. Mobiler Startplatz UPS-Lieferwagen liefert mit Drohne Pakete aus

P10 und iPhone im Porträttest: Huawei machts besser als Apple
P10 und iPhone im Porträttest
Huawei machts besser als Apple
  1. Weilheim Huawei startet eigene Produktion in Deutschland
  2. AgilePOL Huawei sieht FTTH als "die Zukunft für Netzbetreiber"
  3. Smartphone Huaweis P10 Lite kommt für 350 Euro

Tuxedo Book XC1507 v2 im Test: Linux ist nur einmal besser
Tuxedo Book XC1507 v2 im Test
Linux ist nur einmal besser
  1. Gaming-Notebook Razer aktualisiert Blade 14 mit Kaby Lake und 4K-UHD
  2. MSI GS63VR und Gigabyte Aero 14 im Test Entscheidend ist der Akku

  1. Re: Brutto/Netto gehört abgeschafft.

    amagol | 19:03

  2. Re: Irgendwas mache ich wohl falsch...

    aLpenbog | 19:02

  3. Hört sich alles nicht nach einem Neuanfang an

    McWiesel | 19:02

  4. Re: wann endlich alternative zu MTP?

    elgooG | 19:01

  5. Re: Dann Telia verklagen

    Balduan | 19:01


  1. 18:26

  2. 18:18

  3. 18:08

  4. 17:39

  5. 16:50

  6. 16:24

  7. 15:46

  8. 14:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel