Abo
  • Services:
Anzeige
Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen.
Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen. (Bild: Certificate Transparency / Google)

Certificate Transparency: Betrug mit TLS-Zertifikaten wird fast unmöglich

Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen.
Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen. (Bild: Certificate Transparency / Google)

Alle TLS-Zertifizierungsstellen müssen ab nächstem Herbst ihre Zertifikate vor der Ausstellung in ein öffentliches Log eintragen. Mittels Certificate Transparency kann Fehlverhalten bei der Zertifikatsausstellung leichter entdeckt werden - das TLS-Zertifikatssystem insgesamt wird vertrauenswürdiger.

Google treibt das Certificate-Transparency-System voran: Ab Oktober 2017 müssen alle neu ausgestellten TLS-Zertifikate vorab in ein öffentliches Log eingetragen werden. Anderenfalls werden sie vom Chrome-Browser nicht mehr akzeptiert. Damit wird ein Missbrauch des Zertifikatssystems deutlich schwieriger. Wer unberechtigt Zertifikate ausstellt, fliegt mit hoher Wahrscheinlichkeit auf.

Anzeige

Alle Zertifikate werden geloggt

Der Kern von Certificate Transparency sind öffentliche Log-Server. Schon bisher wurden die meisten Zertifikate in die Logs eingetragen. Googles Webcrawler schickte alle Zertifikate, die von einer im Browser vorhandenen Zertifizierungsstelle ausgestellt waren, an eines der von Google betriebenen Logs. Grundsätzlich kann jeder Zertifikate in die Logs eintragen, wenn diese von den im Browser akzeptierten Zertifizierungsstellen ausgestellt wurden.

Mittels kryptographischer Verfahren wird garantiert, dass Zertifikate in die Logserver nur eingetragen und nicht daraus entfernt werden können. Das dahinterstehende Verfahren ähnelt in gewisser Weise einer Blockchain, wie sie bei Bitcoin zum Einsatz kommt.

In Zukunft müssen Zertifizierungsstellen ihre Zertifikate bereits vor der Ausstellung in die Logs eintragen. Dafür erstellen diese ein Vorzertifikat. In diesem Vorzertifikat sind bereits alle wichtigen Daten eingetragen, es fehlen lediglich die sogenannten Signed Certificate Timestamps (SCTs). Diesen SCT erhält die Zertifizierungsstelle anschließend von den Logservern. Sie sind ein signierter Beleg dafür, dass ein Zertifikat in ein Log eingetragen wurde. Um vom Browser akzeptiert zu werden, müssen Zertifikate künftig zwei SCTs von voneinander unabhängigen Logs enthalten. Die teureren Extended-Validation-Zertifikate mussten schon bisher zwei SCTs enthalten. Künftig wird diese Anforderung dann auf alle neu ausgestellten Zertifikate ausgedehnt.

Google legt dabei Wert darauf, dass mindestens eines der beiden Logs nicht von Google selbst betrieben wird. Damit soll verhindert werden, dass die gesamte Verantwortung für das System an einer Stelle konzentriert ist.

Log-Daten öffentlich zugänglich

Die Daten der Logs kann jeder einsehen. Mittels einer relativ simplen HTTP-API, die im RFC 6962 dokumentiert ist, kann man die Daten auslesen. Wer es etwas einfacher haben möchte, kann auch das von Comodo betriebene Webinterface unter crt.sh nutzen, das eine Suche nach geloggten Zertifikaten erlaubt.

Ein Log betreiben kann theoretisch jeder. Der Code dafür ist öffentlich verfügbar und steht unter der Apache-2.0-Lizenz. Allerdings wird nicht jedes Log automatisch vom Browser anerkannt. Chrome hat relativ strenge Anforderungen für die akzeptierten Logs. So müssen diese üblicherweise erreichbar sein und dürfen nur eine sehr geringe Downtime haben. Immer wieder wurden Logs in der Vergangenheit entfernt, weil sie diese Anforderungen nicht erfüllt haben. Kürzlich musste Google gar vermelden, dass das von Google selbst betriebene Aviator-Log für kurze Zeit die Anforderungen nicht erfüllte.

Üblicherweise dauert es etwa eineinhalb Stunden, bis ein Zertifikat ins Log eingetragen wird. Der Hintergrund ist ein relativ komplexes kryptographisches Verfahren, das mittels eines Merkle-Trees garantiert, dass das Log konsistent ist. In diesem Fall dauerte es jedoch über 26 Stunden. Der Grund dafür war, dass jemand mehrere Millionen ältere Zertifikate gleichzeitig in das Log eingetragen hatte.

Nichts unter den Tisch kehren 

eye home zur Startseite
My1 30. Okt 2016

naja dass google CT für symantec gefordert hatte vor langem war ne gute Idee da bei denen...

bjs 26. Okt 2016

browser akzeptieren zertifikate, die in keinem log stehen nicht mehr. das log kann von...

Bachsau 26. Okt 2016

Ich seh es schlichtweg nicht ein mir meine Bandbreite und meine Lebenszeit von Werbung...

Bachsau 26. Okt 2016

Nicht Blockchain, aber Keychain. Die Technologie dafür haben wir bereits, mit DNSsec und...

logged_in 26. Okt 2016

Ehrlich? Keine Nachrichten gelesen? Du weißt ja, was passiert, wenn die Telekom...



Anzeige

Stellenmarkt
  1. Fresenius Netcare GmbH, Bad Homburg
  2. Robert Bosch GmbH, Schwieberdingen
  3. ARBURG GmbH + Co KG, Loßburg
  4. Springer Nature, Berlin


Anzeige
Top-Angebote
  1. 47,99€
  2. und For Honor oder Ghost Recon Wildlands kostenlos erhalten
  3. (-17%) 49,99€ - Release am Donnerstag

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Energielabels

    Aus A+++ wird nur noch A

  2. Update 1.2

    Gog.com-Client erhält Cloud-Speicheroption und fps-Zähler

  3. HTTPS

    US-Cert warnt vor Man-In-The-Middle-Boxen

  4. Datenrate

    Facebook und Nokia bringen Seekabel ans Limit

  5. Grafikkarte

    Zotac will die schnellste Geforce GTX 1080 Ti stellen

  6. Ab 2018

    Cebit findet künftig im Sommer statt

  7. Google

    Maps erlaubt Teilen des eigenen Standortes in Echtzeit

  8. Datengesetz geplant

    Halter sollen Eigentümer von Fahrzeugdaten werden

  9. Nintendo Switch

    Leitfähiger Schaumstoff löst Joy-Con-Probleme

  10. Stack Overflow

    Deutsche Entwickler fühlen sich unterbezahlt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. Earbuds mit Sensor Apple beantragt Patent auf biometrische Kopfhörer
  2. Apple Park Apple bezieht das Raumschiff
  3. Klage gegen Steuernachzahlung Apple beruft sich auf europäische Grundrechte

Technik-Kritiker: Jaron Lanier will Facebook zerschlagen
Technik-Kritiker
Jaron Lanier will Facebook zerschlagen
  1. Facebook & Co Bis zu 50 Millionen Euro Geldbuße für Hasskommentare
  2. OCP Facebook rüstet das Rechenzentrum auf
  3. Social Media Facebook verbietet Datennutzung für Überwachung

Forensik Challenge: Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
Forensik Challenge
Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
  1. Reporter ohne Grenzen Verfassungsklage gegen BND-Überwachung eingereicht
  2. Selektorenaffäre BND soll ausländische Journalisten ausspioniert haben
  3. Ex-Verfassungsgerichtspräsident Papier Die Politik stellt sich beim BND-Gesetz taub

  1. Re: Leider alternativ-los...

    Neuro-Chef | 22:51

  2. Re: schöne Sache

    ArcherV | 22:51

  3. Re: Diese Art von Spiel werde ich nie verstehen...

    M.Kessel | 22:50

  4. Re: Wer schaut drauf?

    Dennis | 22:46

  5. Re: Bekommt er dann auch Rundfunkgebühr?

    laserbeamer | 22:44


  1. 18:59

  2. 18:42

  3. 18:06

  4. 17:39

  5. 17:10

  6. 16:46

  7. 16:26

  8. 16:24


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel