Abo
  • IT-Karriere:

Chrome: Strengere Regeln für TLS-Zertifikate

Googles Browser wird künftig Nutzer bei Zertifikaten mit kurzen Schlüsseln und anderen Problemen warnen. Auch eine neue Technologie namens Certificate Transparency, die betrügerische Zertifizierungsstellen identifiziert, soll bald genutzt werden.

Artikel veröffentlicht am , Hanno Böck
Chrome ist künftig strenger bei TLS-Zertifikaten.
Chrome ist künftig strenger bei TLS-Zertifikaten. (Bild: Google)

Google hat angekündigt, einige Veränderungen im Browser Chrome vorzunehmen, die die Sicherheit von SSL-/TLS-Zertifikaten erhöhen sollen. Das kündigte Google-Mitarbeiter Ryan Sleevi auf der Mailingliste des CA/Browser-Forums an. Das CA/Browser-Forum ist ein Gremium, in dem sich fast alle relevanten Browserhersteller und die in den Browsern mitgelieferten Zertifizierungsstellen (CAs) koordinieren.

Stellenmarkt
  1. mWGmy World Germany GmbH, Köln
  2. Technische Informationsbibliothek (TIB), Hannover

Demnach will Google künftig prüfen, ob Zertifikate von HTTPS-Seiten die sogenannten Baseline Requirements des CA/Browser-Forums erfüllen. Eine der wichtigsten Änderungen ist vermutlich die Länge der RSA-Schlüssel. Ab 2014 wird Chrome eine Warnung anzeigen, wenn Zertifikate mit einer Schlüssellänge unter 2.048 Bit genutzt werden.

Warnungen vor RSA-Schlüssellängen mit einer Länge von 1.024 Bit gibt es schon seit etwa zehn Jahren. Die US-Behörde Nist hatte bereits seit Jahren empfohlen, die Nutzung von solch kurzen Schlüsseln spätestens 2010 zu beenden. Doch das hielt die Zertifizierungsstellen nicht davon ab, noch lange Zeit deutlich kürzere Schlüssel einzusetzen. 2010 fand ein Forschungsprojekt der Electronic Frontier Foundation sogar noch zahlreiche Schlüssel mit 512 oder 768 Bit.

Eine Ausnahme gibt es allerdings: Bei den Root-Zertifikaten wird Google 1.024 Bit weiterhin akzeptieren. Die Root-Zertifikate gelten üblicherweise deutlich länger als gewöhnliche Webseitenzertifikate. Insofern gestaltet sich dort die Umstellung als langwierig und einige Zertifizierungsstellen haben ihre Root-Zertifikate noch nicht auf längere Schlüssel umgestellt. Sonderlich glücklich ist man bei Google damit allerdings nicht. Vorsorglich kündigt Sleevi bereits an, dass Zertifizierungsstellen, die weiterhin auf kurze Schlüssel setzen, damit rechnen müssen, in Zukunft aus dem Chrome-Browser entfernt zu werden.

Eine weitere Änderung: Die Baseline Requirements beschränken die maximale Gültigkeitsdauer von Zertifikaten auf fünf Jahre. Außerdem werden Zertifikate, bei denen keine Möglichkeit der Gültigkeitsprüfung über das Protokoll OCSP bestehen, nicht mehr akzeptiert.

Die Baseline Requirements gelten eigentlich für alle im CA/Browser-Forum zusammengeschlossenen Zertifizierungsstellen seit Juli 2013. Jedoch listet die Webseite Netcraft eine ganze Reihe von Fällen auf, in denen Zertifizierungsstellen die Baseline Requirements seitdem verletzt haben. Ironisch dabei: Selbst Google hat noch in jüngster Zeit Zertifikate genutzt, die keine OCSP-Gültigkeitsprüfung ermöglichten und damit genau die Regeln verletzt, die man jetzt strenger durchsetzen möchte.

Weiterhin kündigt Google an, die Unterstützung des Protokolls Certificate Transparency in Zukunft vorauszusetzen. Allerdings gibt es hierfür noch keinen festen Zeitplan, zunächst soll sich die Überprüfung auch auf sogenannte Extended-Validation-Zertifikate beschränken. Certificate Transparency soll dazu dienen, Zertifizierungsstellen zu identifizieren, die böswillig Zertifikate ausstellen.

Die Idee dabei: In einem für jeden einsehbaren Log-System sollen alle Zertifikate registriert werden. Diese werden von Log-Servern verwaltet. Nur öffentlich registrierte Zertifikate sind auch gültig. Es soll dabei insbesondere unmöglich sein, Zertifikate nachträglich aus dem Log zu entfernen oder welche einzufügen. Wenn eine Zertifizierungsstelle nun böswillig ein Zertifikat ausstellt, welches etwa zur Überwachung von Nutzern eingesetzt wird, lässt sich dies zwar nicht direkt verhindern, es lässt sich jedoch auch nicht geheim halten.

Das Konzept der Certificate Transparency mit einem öffentlich einsehbaren Log hat gewisse Ähnlichkeiten mit einem früheren Vorschlag der Electronic Frontier Foundation namens Sovereign Keys, der jedoch nie umgesetzt wurde.



Anzeige
Hardware-Angebote
  1. (u. a. beide Spiele zu Ryzen 9 3000 oder 7 3800X Series, eines davon zu Ryzen 7 3700X/5 3600X/7...

Thaodan 27. Sep 2013

So weit ich weiß kann man die Standard Keybinds nicht überschreiben, deswegen gibt leider...

mirko_drechsel 27. Sep 2013

... für den Endnutzer, sondern nur eine weitere Runde im Wettrüsten. Kommt natürlich...

dura 27. Sep 2013

Die Extension Certificate Patrol existiert schon lange unter Firefox und kann bei...

strx 27. Sep 2013

das hat die alte Version von opera 12.16 schon seit über einem Jahr


Folgen Sie uns
       


Transparenter OLED-Screen von Panasonic angesehen (Ifa 2019)

Der transparente OLED-Fernseher von Panasonic rückt immer näher. Auf der Ifa 2019 steht ein Prototyp, der schon jetzt Einrichtungsideen in den Kopf ruft.

Transparenter OLED-Screen von Panasonic angesehen (Ifa 2019) Video aufrufen
IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!

WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

    •  /