Abo
  • Services:

Certificate Transparency: Betrug mit TLS-Zertifikaten wird fast unmöglich

Alle TLS-Zertifizierungsstellen müssen ab nächstem Herbst ihre Zertifikate vor der Ausstellung in ein öffentliches Log eintragen. Mittels Certificate Transparency kann Fehlverhalten bei der Zertifikatsausstellung leichter entdeckt werden - das TLS-Zertifikatssystem insgesamt wird vertrauenswürdiger.

Artikel veröffentlicht am , Hanno Böck
Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen.
Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen. (Bild: Certificate Transparency / Google)

Google treibt das Certificate-Transparency-System voran: Ab Oktober 2017 müssen alle neu ausgestellten TLS-Zertifikate vorab in ein öffentliches Log eingetragen werden. Anderenfalls werden sie vom Chrome-Browser nicht mehr akzeptiert. Damit wird ein Missbrauch des Zertifikatssystems deutlich schwieriger. Wer unberechtigt Zertifikate ausstellt, fliegt mit hoher Wahrscheinlichkeit auf.

Alle Zertifikate werden geloggt

Inhalt:
  1. Certificate Transparency: Betrug mit TLS-Zertifikaten wird fast unmöglich
  2. Nichts unter den Tisch kehren
  3. Unentdeckter Angriff fast unmöglich
  4. Fazit: ein großer Schritt für mehr Sicherheit bei TLS

Der Kern von Certificate Transparency sind öffentliche Log-Server. Schon bisher wurden die meisten Zertifikate in die Logs eingetragen. Googles Webcrawler schickte alle Zertifikate, die von einer im Browser vorhandenen Zertifizierungsstelle ausgestellt waren, an eines der von Google betriebenen Logs. Grundsätzlich kann jeder Zertifikate in die Logs eintragen, wenn diese von den im Browser akzeptierten Zertifizierungsstellen ausgestellt wurden.

Mittels kryptographischer Verfahren wird garantiert, dass Zertifikate in die Logserver nur eingetragen und nicht daraus entfernt werden können. Das dahinterstehende Verfahren ähnelt in gewisser Weise einer Blockchain, wie sie bei Bitcoin zum Einsatz kommt.

In Zukunft müssen Zertifizierungsstellen ihre Zertifikate bereits vor der Ausstellung in die Logs eintragen. Dafür erstellen diese ein Vorzertifikat. In diesem Vorzertifikat sind bereits alle wichtigen Daten eingetragen, es fehlen lediglich die sogenannten Signed Certificate Timestamps (SCTs). Diesen SCT erhält die Zertifizierungsstelle anschließend von den Logservern. Sie sind ein signierter Beleg dafür, dass ein Zertifikat in ein Log eingetragen wurde. Um vom Browser akzeptiert zu werden, müssen Zertifikate künftig zwei SCTs von voneinander unabhängigen Logs enthalten. Die teureren Extended-Validation-Zertifikate mussten schon bisher zwei SCTs enthalten. Künftig wird diese Anforderung dann auf alle neu ausgestellten Zertifikate ausgedehnt.

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart, Esslingen
  2. eco Verband der Internetwirtschaft e.V., Köln

Google legt dabei Wert darauf, dass mindestens eines der beiden Logs nicht von Google selbst betrieben wird. Damit soll verhindert werden, dass die gesamte Verantwortung für das System an einer Stelle konzentriert ist.

Log-Daten öffentlich zugänglich

Die Daten der Logs kann jeder einsehen. Mittels einer relativ simplen HTTP-API, die im RFC 6962 dokumentiert ist, kann man die Daten auslesen. Wer es etwas einfacher haben möchte, kann auch das von Comodo betriebene Webinterface unter crt.sh nutzen, das eine Suche nach geloggten Zertifikaten erlaubt.

Ein Log betreiben kann theoretisch jeder. Der Code dafür ist öffentlich verfügbar und steht unter der Apache-2.0-Lizenz. Allerdings wird nicht jedes Log automatisch vom Browser anerkannt. Chrome hat relativ strenge Anforderungen für die akzeptierten Logs. So müssen diese üblicherweise erreichbar sein und dürfen nur eine sehr geringe Downtime haben. Immer wieder wurden Logs in der Vergangenheit entfernt, weil sie diese Anforderungen nicht erfüllt haben. Kürzlich musste Google gar vermelden, dass das von Google selbst betriebene Aviator-Log für kurze Zeit die Anforderungen nicht erfüllte.

Üblicherweise dauert es etwa eineinhalb Stunden, bis ein Zertifikat ins Log eingetragen wird. Der Hintergrund ist ein relativ komplexes kryptographisches Verfahren, das mittels eines Merkle-Trees garantiert, dass das Log konsistent ist. In diesem Fall dauerte es jedoch über 26 Stunden. Der Grund dafür war, dass jemand mehrere Millionen ältere Zertifikate gleichzeitig in das Log eingetragen hatte.

Nichts unter den Tisch kehren 
  1. 1
  2. 2
  3. 3
  4. 4
  5.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

My1 30. Okt 2016

naja dass google CT für symantec gefordert hatte vor langem war ne gute Idee da bei denen...

Anonymer Nutzer 26. Okt 2016

browser akzeptieren zertifikate, die in keinem log stehen nicht mehr. das log kann von...

Bachsau 26. Okt 2016

Ich seh es schlichtweg nicht ein mir meine Bandbreite und meine Lebenszeit von Werbung...

Bachsau 26. Okt 2016

Nicht Blockchain, aber Keychain. Die Technologie dafür haben wir bereits, mit DNSsec und...

logged_in 26. Okt 2016

Ehrlich? Keine Nachrichten gelesen? Du weißt ja, was passiert, wenn die Telekom...


Folgen Sie uns
       


Padrone-Maus-Ring - Kampagnenvideo (Indiegogo)

Der Ring des Schweizer Startups Padrone soll die Maus überflüssig machen.

Padrone-Maus-Ring - Kampagnenvideo (Indiegogo) Video aufrufen
Datenschutz: Nie da gewesene Kontrollmacht für staatliche Stellen
Datenschutz
"Nie da gewesene Kontrollmacht für staatliche Stellen"

Zur G20-Fahndung nutzt Hamburgs Polizei eine Software, die Gesichter von Hunderttausenden speichert. Schluss damit, sagt der Datenschutzbeauftragte - und wird ignoriert.
Ein Interview von Oliver Hollenstein

  1. Brexit-Abstimmung IT-Wirtschaft warnt vor Datenchaos in Europa
  2. Österreich Post handelt mit politischen Einstellungen
  3. Digitalisierung Bär stößt Debatte um Datenschutz im Gesundheitswesen an

Schwer ausnutzbar: Die ungefixten Sicherheitslücken
Schwer ausnutzbar
Die ungefixten Sicherheitslücken

Sicherheitslücken wie Spectre, Rowhammer und Heist lassen sich kaum vollständig beheben, ohne gravierende Performance-Einbußen zu akzeptieren. Daher bleiben sie ungefixt. Trotzdem werden sie bisher kaum ausgenutzt.
Von Hanno Böck

  1. Sicherheitslücken Bauarbeitern die Maschinen weghacken
  2. Kilswitch und Apass US-Soldaten nutzten Apps mit fatalen Sicherheitslücken
  3. Sicherheitslücke Kundendaten von IPC-Computer kopiert

Elektroauto: Eine Branche vor der Zerreißprobe
Elektroauto
Eine Branche vor der Zerreißprobe

2019 wird ein spannendes Jahr für die Elektromobilität. Politik und Autoindustrie stehen in diesem Jahr vor Entwicklungen, die über die Zukunft bestimmen. Doch noch ist die Richtung unklar.
Eine Analyse von Dirk Kunde

  1. Kalifornien Ab 2029 müssen Stadtbusse elektrisch fahren
  2. Monowheel Z-One One Die Elektro-Vespa auf einem Rad
  3. 2nd Life Ausgemusterte Bus-Akkus speichern jetzt Solarenergie

    •  /