Abo
  • Services:
Anzeige
Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen.
Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen. (Bild: Certificate Transparency / Google)

Fazit: ein großer Schritt für mehr Sicherheit bei TLS

In der Vergangenheit stand das System der Zertifizierungsstellen oft in der Kritik. Hinter den Hunderten Zertifizierungsstellen stehen oft wenig vertrauenswürdige Organisationen, und sie sind theoretisch in der Lage, für beliebige Webseiten Zertifikate auszustellen.

Die Kritik daran ist einerseits berechtigt. Wie die erwähnten Vorfälle um Comodo, Symantec oder Wosign zeigen, läuft bei der Zertifikatsausstellung viel schief. Manche Kritiker allerdings gehen so weit, dass sie die Sicherheit von TLS und HTTPS wegen dieser Probleme generell infrage stellen. Das ist absurd.

Anzeige

Echte Angriffe sind selten

Echte Angriffe mittels kompromittierter Zertifizierungsstellen sind selten. Bei den allermeisten Vorfällen handelt es sich um Fehler, Sicherheitslücken, die vor einen Missbrauch entdeckt werden, oder Verletzungen von Policies. Die letzten bekannten Vorfälle, bei dem kompromittierte Zertifizierungsstellen tatsächlich für Angriffe missbraucht wurden, ereigneten sich 2011 bei Comodo und Diginotar. Bei einem weiteren Vorfall bei der Zertifizierungsstelle India CCA im Jahr 2014 ist nicht ganz klar, ob dieser Teil eines Angriffs war.

Technisch hat sich in den letzten Jahren einiges verbessert. Neben Certificate Transparency ist hier HTTP Public Key Pinning (HPKP) erwähnenswert - auch wenn es daran einige Kritik gibt, weil man dabei viel falsch machen kann.

Der Schritt von Google, das Certificate-Transparency-System voranzutreiben, wird dafür sorgen, dass Angriffe mittels fälschlicherweise ausgestellten Zertifikaten noch unwahrscheinlicher werden. Paradoxerweise könnte Certificate Transparency jedoch auch dazu führen, dass das System der Zertifizierungsstellen noch unsicherer erscheint - weil mehr Fehler aufgedeckt werden.

 Unentdeckter Angriff fast unmöglich

eye home zur Startseite
My1 30. Okt 2016

naja dass google CT für symantec gefordert hatte vor langem war ne gute Idee da bei denen...

bjs 26. Okt 2016

browser akzeptieren zertifikate, die in keinem log stehen nicht mehr. das log kann von...

Bachsau 26. Okt 2016

Ich seh es schlichtweg nicht ein mir meine Bandbreite und meine Lebenszeit von Werbung...

Bachsau 26. Okt 2016

Nicht Blockchain, aber Keychain. Die Technologie dafür haben wir bereits, mit DNSsec und...

logged_in 26. Okt 2016

Ehrlich? Keine Nachrichten gelesen? Du weißt ja, was passiert, wenn die Telekom...



Anzeige

Stellenmarkt
  1. Deutsche Telekom AG, Darmstadt
  2. operational services GmbH & Co. KG, Frankfurt
  3. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  4. T-Systems International GmbH, Stuttgart, Leinfelden-Echterdingen


Anzeige
Hardware-Angebote
  1. ab 486,80€
  2. 17,99€ statt 29,99€

Folgen Sie uns
       


  1. Hate Speech

    Facebook wehrt sich gegen Gesetz gegen Hass im Netz

  2. Blackberry

    Qualcomm muss fast 1 Milliarde US-Dollar zurückzahlen

  3. Surface Ergonomische Tastatur im Test

    Eins werden mit Microsofts Tastatur

  4. Russischer Milliardär

    Nonstop-Weltumrundung mit Solarflugzeug geplant

  5. BMW Motorrad Concept Link

    Auch BMW plant Elektromotorrad

  6. Solar Roof

    Teslas Sonnendachziegel bis Ende 2018 ausverkauft

  7. Cortex-A75

    ARM bringt CPU-Kern für Windows-10-Geräte

  8. Cortex-A55

    ARMs neuer kleiner Lieblingskern

  9. Mali-G72

    ARMs Grafikeinheit für Deep-Learning-Smartphones

  10. Service

    Telekom verspricht kürzeres Warten auf Techniker



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Prozessor Intel wird Thunderbolt 3 in CPUs integrieren
  2. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  3. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Wemo Belkin erweitert Smart-Home-System um Homekit-Bridge
  2. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  3. Tapdo Das Smart Home mit Fingerabdrücken steuern

  1. Re: Siri und diktieren

    Trollversteher | 10:07

  2. Re: Mal wieder ...

    S-Talker | 10:07

  3. Re: Akkuproblem noch viel schlimmer als bei PKW!

    JackIsBlack | 10:06

  4. Wir begrüßen die Entscheidung von Microsoft

    HubertHans | 10:05

  5. Re: Unzureichender Artikel

    oxybenzol | 10:04


  1. 09:53

  2. 09:12

  3. 09:10

  4. 08:57

  5. 08:08

  6. 07:46

  7. 06:00

  8. 06:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel