• IT-Karriere:
  • Services:

Chrome: Strengere Regeln für TLS-Zertifikate

Googles Browser wird künftig Nutzer bei Zertifikaten mit kurzen Schlüsseln und anderen Problemen warnen. Auch eine neue Technologie namens Certificate Transparency, die betrügerische Zertifizierungsstellen identifiziert, soll bald genutzt werden.

Artikel veröffentlicht am , Hanno Böck
Chrome ist künftig strenger bei TLS-Zertifikaten.
Chrome ist künftig strenger bei TLS-Zertifikaten. (Bild: Google)

Google hat angekündigt, einige Veränderungen im Browser Chrome vorzunehmen, die die Sicherheit von SSL-/TLS-Zertifikaten erhöhen sollen. Das kündigte Google-Mitarbeiter Ryan Sleevi auf der Mailingliste des CA/Browser-Forums an. Das CA/Browser-Forum ist ein Gremium, in dem sich fast alle relevanten Browserhersteller und die in den Browsern mitgelieferten Zertifizierungsstellen (CAs) koordinieren.

Stellenmarkt
  1. SIZ GmbH, Bonn
  2. ekom21 - KGRZ Hessen, Gießen, Kassel

Demnach will Google künftig prüfen, ob Zertifikate von HTTPS-Seiten die sogenannten Baseline Requirements des CA/Browser-Forums erfüllen. Eine der wichtigsten Änderungen ist vermutlich die Länge der RSA-Schlüssel. Ab 2014 wird Chrome eine Warnung anzeigen, wenn Zertifikate mit einer Schlüssellänge unter 2.048 Bit genutzt werden.

Warnungen vor RSA-Schlüssellängen mit einer Länge von 1.024 Bit gibt es schon seit etwa zehn Jahren. Die US-Behörde Nist hatte bereits seit Jahren empfohlen, die Nutzung von solch kurzen Schlüsseln spätestens 2010 zu beenden. Doch das hielt die Zertifizierungsstellen nicht davon ab, noch lange Zeit deutlich kürzere Schlüssel einzusetzen. 2010 fand ein Forschungsprojekt der Electronic Frontier Foundation sogar noch zahlreiche Schlüssel mit 512 oder 768 Bit.

Eine Ausnahme gibt es allerdings: Bei den Root-Zertifikaten wird Google 1.024 Bit weiterhin akzeptieren. Die Root-Zertifikate gelten üblicherweise deutlich länger als gewöhnliche Webseitenzertifikate. Insofern gestaltet sich dort die Umstellung als langwierig und einige Zertifizierungsstellen haben ihre Root-Zertifikate noch nicht auf längere Schlüssel umgestellt. Sonderlich glücklich ist man bei Google damit allerdings nicht. Vorsorglich kündigt Sleevi bereits an, dass Zertifizierungsstellen, die weiterhin auf kurze Schlüssel setzen, damit rechnen müssen, in Zukunft aus dem Chrome-Browser entfernt zu werden.

Eine weitere Änderung: Die Baseline Requirements beschränken die maximale Gültigkeitsdauer von Zertifikaten auf fünf Jahre. Außerdem werden Zertifikate, bei denen keine Möglichkeit der Gültigkeitsprüfung über das Protokoll OCSP bestehen, nicht mehr akzeptiert.

Die Baseline Requirements gelten eigentlich für alle im CA/Browser-Forum zusammengeschlossenen Zertifizierungsstellen seit Juli 2013. Jedoch listet die Webseite Netcraft eine ganze Reihe von Fällen auf, in denen Zertifizierungsstellen die Baseline Requirements seitdem verletzt haben. Ironisch dabei: Selbst Google hat noch in jüngster Zeit Zertifikate genutzt, die keine OCSP-Gültigkeitsprüfung ermöglichten und damit genau die Regeln verletzt, die man jetzt strenger durchsetzen möchte.

Weiterhin kündigt Google an, die Unterstützung des Protokolls Certificate Transparency in Zukunft vorauszusetzen. Allerdings gibt es hierfür noch keinen festen Zeitplan, zunächst soll sich die Überprüfung auch auf sogenannte Extended-Validation-Zertifikate beschränken. Certificate Transparency soll dazu dienen, Zertifizierungsstellen zu identifizieren, die böswillig Zertifikate ausstellen.

Die Idee dabei: In einem für jeden einsehbaren Log-System sollen alle Zertifikate registriert werden. Diese werden von Log-Servern verwaltet. Nur öffentlich registrierte Zertifikate sind auch gültig. Es soll dabei insbesondere unmöglich sein, Zertifikate nachträglich aus dem Log zu entfernen oder welche einzufügen. Wenn eine Zertifizierungsstelle nun böswillig ein Zertifikat ausstellt, welches etwa zur Überwachung von Nutzern eingesetzt wird, lässt sich dies zwar nicht direkt verhindern, es lässt sich jedoch auch nicht geheim halten.

Das Konzept der Certificate Transparency mit einem öffentlich einsehbaren Log hat gewisse Ähnlichkeiten mit einem früheren Vorschlag der Electronic Frontier Foundation namens Sovereign Keys, der jedoch nie umgesetzt wurde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 4,25€
  2. (-40%) 32,99€
  3. 6,49€
  4. (-40%) 23,99€

Thaodan 27. Sep 2013

So weit ich weiß kann man die Standard Keybinds nicht überschreiben, deswegen gibt leider...

mirko_drechsel 27. Sep 2013

... für den Endnutzer, sondern nur eine weitere Runde im Wettrüsten. Kommt natürlich...

dura 27. Sep 2013

Die Extension Certificate Patrol existiert schon lange unter Firefox und kann bei...

strx 27. Sep 2013

das hat die alte Version von opera 12.16 schon seit über einem Jahr


Folgen Sie uns
       


Halo (2001) - Golem retro_

2001 feierte der Master Chief im Klassiker Halo: Kampf um die Zukunft sein Debüt. Wir blicken zurück und merken, wie groß der Einfluss des Spiels wirklich ist.

Halo (2001) - Golem retro_ Video aufrufen
Holo-Monitor angeschaut: Looking Glass' 8K-Monitor erzeugt Holo-Bild
Holo-Monitor angeschaut
Looking Glass' 8K-Monitor erzeugt Holo-Bild

CES 2020 Mit seinem neuen 8K-Monitor hat Looking Glass Factory eine Möglichkeit geschaffen, ohne zusätzliche Hardware 3D-Material zu betrachten. Die holographische Projektion wird in einem Glaskubus erzeugt und sieht beeindruckend realistisch aus.
Von Tobias Költzsch und Martin Wolf

  1. UHD Alliance Fernseher mit Filmmaker-Modus kommen noch 2020
  2. Alienware Concept Ufo im Hands on Die Switch für Erwachsene
  3. Galaxy Home Mini Samsung schraubt Erwartungen an Bixby herunter

Kailh-Box-Switches im Test: Besser und lauter geht ein klickender Switch kaum
Kailh-Box-Switches im Test
Besser und lauter geht ein klickender Switch kaum

Wer klickende Tastatur-Switches mag, wird die dunkelblauen Kailh-Box-Schalter lieben: Eine eingebaute Stahlfeder sorgt für zwei satte Klicks pro Anschlag. Im Test merken unsere Finger aber schnell den hohen taktilen Widerstand.
Ein Test von Tobias Költzsch

  1. Charachorder Schneller tippen als die Tastatur erlaubt
  2. Brydge+ iPad-Tastatur mit Multi-Touch-Trackpad
  3. Apex Pro im Test Tastatur für glückliche Gamer und Vielschreiber

Concept One ausprobiert: Oneplus lässt die Kameras verschwinden
Concept One ausprobiert
Oneplus lässt die Kameras verschwinden

CES 2020 Oneplus hat sein erstes Konzept-Smartphone vorgestellt. Dessen einziger Zweck es ist, die neue ausblendbare Kamera zu zeigen.
Von Tobias Költzsch

  1. Bluetooth LE Audio Neuer Standard spielt parallel auf mehreren Geräten
  2. Streaming Amazon bringt Fire TV ins Auto
  3. Thinkpad X1 Fold im Hands-off Ein Blick auf Lenovos pfiffiges Falt-Tablet

    •  /