Abo
  • Services:
Anzeige
Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen.
Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen. (Bild: Certificate Transparency / Google)

Certificate Transparency: Betrug mit TLS-Zertifikaten wird fast unmöglich

Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen.
Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen. (Bild: Certificate Transparency / Google)

Alle TLS-Zertifizierungsstellen müssen ab nächstem Herbst ihre Zertifikate vor der Ausstellung in ein öffentliches Log eintragen. Mittels Certificate Transparency kann Fehlverhalten bei der Zertifikatsausstellung leichter entdeckt werden - das TLS-Zertifikatssystem insgesamt wird vertrauenswürdiger.

Google treibt das Certificate-Transparency-System voran: Ab Oktober 2017 müssen alle neu ausgestellten TLS-Zertifikate vorab in ein öffentliches Log eingetragen werden. Anderenfalls werden sie vom Chrome-Browser nicht mehr akzeptiert. Damit wird ein Missbrauch des Zertifikatssystems deutlich schwieriger. Wer unberechtigt Zertifikate ausstellt, fliegt mit hoher Wahrscheinlichkeit auf.

Anzeige

Alle Zertifikate werden geloggt

Der Kern von Certificate Transparency sind öffentliche Log-Server. Schon bisher wurden die meisten Zertifikate in die Logs eingetragen. Googles Webcrawler schickte alle Zertifikate, die von einer im Browser vorhandenen Zertifizierungsstelle ausgestellt waren, an eines der von Google betriebenen Logs. Grundsätzlich kann jeder Zertifikate in die Logs eintragen, wenn diese von den im Browser akzeptierten Zertifizierungsstellen ausgestellt wurden.

Mittels kryptographischer Verfahren wird garantiert, dass Zertifikate in die Logserver nur eingetragen und nicht daraus entfernt werden können. Das dahinterstehende Verfahren ähnelt in gewisser Weise einer Blockchain, wie sie bei Bitcoin zum Einsatz kommt.

In Zukunft müssen Zertifizierungsstellen ihre Zertifikate bereits vor der Ausstellung in die Logs eintragen. Dafür erstellen diese ein Vorzertifikat. In diesem Vorzertifikat sind bereits alle wichtigen Daten eingetragen, es fehlen lediglich die sogenannten Signed Certificate Timestamps (SCTs). Diesen SCT erhält die Zertifizierungsstelle anschließend von den Logservern. Sie sind ein signierter Beleg dafür, dass ein Zertifikat in ein Log eingetragen wurde. Um vom Browser akzeptiert zu werden, müssen Zertifikate künftig zwei SCTs von voneinander unabhängigen Logs enthalten. Die teureren Extended-Validation-Zertifikate mussten schon bisher zwei SCTs enthalten. Künftig wird diese Anforderung dann auf alle neu ausgestellten Zertifikate ausgedehnt.

Google legt dabei Wert darauf, dass mindestens eines der beiden Logs nicht von Google selbst betrieben wird. Damit soll verhindert werden, dass die gesamte Verantwortung für das System an einer Stelle konzentriert ist.

Log-Daten öffentlich zugänglich

Die Daten der Logs kann jeder einsehen. Mittels einer relativ simplen HTTP-API, die im RFC 6962 dokumentiert ist, kann man die Daten auslesen. Wer es etwas einfacher haben möchte, kann auch das von Comodo betriebene Webinterface unter crt.sh nutzen, das eine Suche nach geloggten Zertifikaten erlaubt.

Ein Log betreiben kann theoretisch jeder. Der Code dafür ist öffentlich verfügbar und steht unter der Apache-2.0-Lizenz. Allerdings wird nicht jedes Log automatisch vom Browser anerkannt. Chrome hat relativ strenge Anforderungen für die akzeptierten Logs. So müssen diese üblicherweise erreichbar sein und dürfen nur eine sehr geringe Downtime haben. Immer wieder wurden Logs in der Vergangenheit entfernt, weil sie diese Anforderungen nicht erfüllt haben. Kürzlich musste Google gar vermelden, dass das von Google selbst betriebene Aviator-Log für kurze Zeit die Anforderungen nicht erfüllte.

Üblicherweise dauert es etwa eineinhalb Stunden, bis ein Zertifikat ins Log eingetragen wird. Der Hintergrund ist ein relativ komplexes kryptographisches Verfahren, das mittels eines Merkle-Trees garantiert, dass das Log konsistent ist. In diesem Fall dauerte es jedoch über 26 Stunden. Der Grund dafür war, dass jemand mehrere Millionen ältere Zertifikate gleichzeitig in das Log eingetragen hatte.

Nichts unter den Tisch kehren 

eye home zur Startseite
My1 30. Okt 2016

naja dass google CT für symantec gefordert hatte vor langem war ne gute Idee da bei denen...

bjs 26. Okt 2016

browser akzeptieren zertifikate, die in keinem log stehen nicht mehr. das log kann von...

Bachsau 26. Okt 2016

Ich seh es schlichtweg nicht ein mir meine Bandbreite und meine Lebenszeit von Werbung...

Bachsau 26. Okt 2016

Nicht Blockchain, aber Keychain. Die Technologie dafür haben wir bereits, mit DNSsec und...

logged_in 26. Okt 2016

Ehrlich? Keine Nachrichten gelesen? Du weißt ja, was passiert, wenn die Telekom...



Anzeige

Stellenmarkt
  1. Baden-Württembergischer Genossenschaftsverband e.V., Stuttgart
  2. Wirecard Global Sales GmbH, Aschheim bei München
  3. Robert Bosch GmbH, Abstatt
  4. Hager Electro GmbH & Co. KG, Schalksmühle / Ottfingen


Anzeige
Spiele-Angebote
  1. 11,99€
  2. (-15%) 16,99€
  3. 42,99€

Folgen Sie uns
       


  1. Elektronischer Personalausweis

    Das tote Pferd soll auferstehen

  2. Siege M04 im Test

    Creatives erste Sound-Blaster-Maus überzeugt

  3. Netgear GS510TLP

    Lüfterloser PoE+-Switch mit 75 Watt Power Budget

  4. Daimler

    Stromspeicher mit Mercedes-Stern für Sonnenenergie

  5. Spielentwickler

    Männlich, 34 Jahre alt und unterbezahlt

  6. Kontrollzentrum

    Drei Finger und das iPhone stürzt ab

  7. Supercharger

    Tesla will Supercharger-Netzwerk verdoppeln

  8. Internet of Things

    Bricker Bot soll 2 Millionen IoT-Geräte zerstört haben

  9. HP, Philips, Fujitsu

    Bloatware auf Millionen Notebooks ermöglicht Codeausführung

  10. Mali-C71

    ARM bringt seinen ersten ISP für Automotive



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
OWASP Top 10: Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
OWASP Top 10
Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
  1. Malware Schadsoftware bei 1.200 Holiday-Inn- und Crowne-Plaza-Hotels
  2. Zero Day Exploit Magento-Onlineshops sind wieder gefährdet
  3. Staatstrojaner Office 0-Day zur Verbreitung von Finfisher-Trojaner genutzt

Creators Update: Game Mode macht Spiele runder und Windows 10 ruckelig
Creators Update
Game Mode macht Spiele runder und Windows 10 ruckelig
  1. Microsoft Zwei große Updates pro Jahr für Windows 10
  2. Windows 10 Version 17xx-2 Stromsparmodus kommt für die nächste Windows-Version
  3. Windows as a Service Die erste Windows-10-Version hat noch drei Wochen Support

Linux auf dem Switch: Freiheit kann ganz schön kompliziert sein!
Linux auf dem Switch
Freiheit kann ganz schön kompliziert sein!
  1. Digital Ocean Cloud-Hoster löscht versehentlich Primärdatenbank
  2. Google Cloud Platform für weitere Microsoft-Produkte angepasst
  3. Marktforschung Cloud-Geschäft wächst rasant, Amazon dominiert den Markt

  1. Re: schlechter Vergleich

    0xDEADC0DE | 10:00

  2. Re: Und die deutschen Hersteller schauen weiter zu...

    Stefan99 | 09:59

  3. Re: 13.000¤

    KruemelMonster | 09:58

  4. Re: Ein Gesetz muss her...

    Bouncy | 09:58

  5. Re: IT Wachstums-Felder

    opodeldox | 09:57


  1. 10:05

  2. 09:20

  3. 08:52

  4. 08:04

  5. 07:55

  6. 07:37

  7. 07:28

  8. 07:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel